De meldplicht datalekken

De meldplicht datalekken: verdubbeling van het aantal meldingen in 2017 en de nieuwe AVG
Door Moniek Hakkenes van de Redactiecommissie

In 2017 zijn er 10.009 datalekken gemeld bij de AP, tegenover 5849 meldingen in 2016. Dat is een stijging van ruim 70%. Deze toename is volgens voorzitter Aleid Wolfsen enerzijds te verklaren door de toename van de bekendheid van de meldplicht en anderzijds het niet op orde zijn van de beveiliging binnen organisaties. Nog steeds wordt niet elk datalek gemeld bij de AP, experts gaan ervan uit dat het werkelijke aantal datalekken veel hoger ligt dan het aantal meldingen. Het niet melden kan voortkomen uit angst voor reputatieschade, maar kan ook liggen aan gebrek aan kennis omtrent de regelgeving. [1]

 

Wat is een datalek en wat zijn de risico’s?
Bij een datalek gaat het om een beveiligingsincident bij een organisatie, met als gevolg toegang tot, vernietiging, wijziging of het vrijkomen van persoonsgegevens, zonder dat dit de bedoeling was. [2] Risico’s van een datalek voor de betrokkene zijn identiteitsfraude, phisingmails en spamberichten. Daarnaast kan een datalek ook inbreuk vormen op het recht op bescherming van de persoonlijke levenssfeer (privacy) van een burger, bijvoorbeeld wanneer er medische gegevens op straat komen te liggen. [3] Risico’s van een datalek voor de organisatie zijn reputatieschade en economische schade, bijvoorbeeld een boete ten gevolge van het datalek zelf of een boete voor het niet op orde hebben van de beveiliging. Datalekken verschillen in ernst en omvang. Het aantal betrokkenen bij een datalek varieert van 1 persoon (42%) tot meer dan 100.000 personen (<1%). Bij een datalek wordt al snel gedacht aan een enorme hack zoals die van de taxi-app Uber, waarbij 57 miljoen accountgegevens van klanten werden gestolen (onder wie 174.000 Nederlanders). [4] Bijna de helft van de gemelde datalekken (47%) betreft echter meldingen waarbij persoonsgegevens aan een verkeerde ontvanger zijn gestuurd. Een voorbeeld hiervan is het datalek in de gemeente Enschede, waarbij de gemeente per ongeluk de privégegevens van 882 werkzoekenden in een e-mail verstuurde aan 30 andere werkzoekenden. [5] Daarnaast worden datalekken ook veroorzaakt door gestolen of verloren datadragers, zoals laptops of usb-sticks (15%). Een voorbeeld hiervan is het datalek van ziekenhuis OLVG, waarbij een laptop met patiëntgegevens en inloggegevens werd gestolen. [6] Echter kan het ook gaan om een datalek die veroorzaakt is doordat de beveiliging niet op orde is, zoals bij het Academisch Medisch Centrum in Amsterdam. In februari 2017 ontdekte een beveiligingsonderzoeker dat hij via de afsprakensite van het AMC in de database met gevoelige patiëntgegevens kon komen. [7] De meest gelekte gegevens zijn Naam Adres Woonplaats [NAW-gegevens], geboortedata, BSN-nummers, telefoonnummers, gegevens over iemands gezondheid, financiële gegevens en e-mailadressen. De meeste datalekken werden gemeld door organisaties uit de sectoren gezondheid en welzijn (3105), openbaar bestuur (2000) en financiële dienstverlening (1984). [8]

Het melden van datalekken
Wanneer een organisatie persoonsgegevens verwerkt, dient een organisatie te voldoen aan de regels uit de Algemene Verordening Gegevensbescherming (AVG, van toepassing vanaf 25 mei 2018). Dit betekent dat een organisatie passende beveiligingsmaatregelen dient te treffen om persoonsgegevens te beschermen en datalekken zoveel mogelijk te voorkomen. [9]

Melding aan de AP
Indien er toch een datalek optreedt, waarbij er een kans is op verlies of onrechtmatige verwerking van persoonsgegevens, dan dient een organisatie dit binnen 72 uur te melden bij de AP. In Nederland was er al een meldplicht, welke grotendeels overeenkomt met de meldplicht onder de AVG. Onder de oude wetgeving diende een datalek alleen gemeld te worden, indien het datalek uit gegevens van gevoelige aard bestond of indien het datalek leidde tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. [10] De AVG schrijft voor dat een melding niet nodig is indien ‘niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. [11] Het is nog niet duidelijk of deze drempel hoger of lager zal liggen dan het (oude) Nederlandse criterium. De AP en andere Europese toezichthouders zullen verdere invulling aan dit criterium (moeten) gaan geven. [12]

Melding aan de betrokkene
Verder dienen datalekken onder bepaalde omstandigheden te worden gemeld aan betrokkenen (degenen over wie de gegevens gaan). [13] Dit is het geval indien het datalek een hoog risico met zich meebrengt, dus bijvoorbeeld indien de gegevens niet goed versleuteld waren of wanneer het datalek om andere redenen waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. In drie gevallen is het niet nodig om een melding te doen aan een betrokkene: (i) indien er passende beschermingsmaatregelen zijn genomen, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleutelingen, (ii) indien er achteraf maatregelen zijn genomen, waardoor het risico zich waarschijnlijk niet meer voor zal doen of (iii) indien de mededeling onevenredige inspanning zou vergen. In dat geval moet er een openbare mededeling of soortgelijke maatregel worden gedaan om betrokkenen te informeren. [14]
Naast het melden van datalekken, dienen alle beveiligingsincidenten geregistreerd te worden. Hierbij gaat het om alle incidenten en niet alleen gemelde datalekken. [15]

Wat betekent dit voor bedrijven en betrokkenen?
De privacyregelgeving heeft tot doel burgers te beschermen bij de verwerking van hun persoonsgegevens. Aangezien organisaties zelf moeten beoordelen of er sprake is van een ‘meldplichtig’ datalek [16], zijn betrokkenen in zekere zin afhankelijk van de organisaties bij het verkrijgen van informatie. Er zijn voorbeelden van datalekken die (in eerste instantie) zijn verzwegen voor het publiek, door angst voor reputatieschade [17] of door onvoldoende kennis van de regelgeving [18]. De voorspelling is echter dat de AVG meer gewicht in de schaal zal leggen: indien organisaties niet voldoen aan de nieuwe regels hangt hen een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet boven het hoofd.
[2] Artikel 4 sub 12 AVG.
[9] Artikel 32 AVG.
[10] In Nederland was er al een ‘Wet meldplicht datalekken’ en was de meldplicht reeds opgenomen in artikel 34a van de Wet bescherming persoonsgegevens.
[11] Artikel 33 lid 1 AVG.
[12] Mark Jansen, AVG en beveiliging: passende maatregelen voortaan proactiever nemen en monitoren, Computerrecht 2017/152.
[13] Artikel 33 en 34 AVG.
[14] Artikel 34 lid 3 AVG.
[15] Artikel 33 lid 5 AVG.
[16] Hiervoor kunnen zij richtlijn gebruiken van de Europese toezichthouder (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052, let op: nog niet definitief).

SVIR wordt mogelijk gemaakt door:

  • Brinkhof
  • Van Doorne
  • IViR
  • IE-Forum
  • Stibbe
  • DLA
  • Considerati
  • Bird en Bird Coffee Break
  • Simmons Simmons
  • Klos CS
  • HOYNG
  • HOYNG