Niet alle beveiligingsincidenten waarbij persoonsgegevens betrokken zijn vereisen een melding bij de toezichthouder. Volgens de AVG-wetgeving moet een datalek alleen gemeld worden wanneer er een reëel risico bestaat voor de rechten en vrijheden van betrokkenen. Bij versleutelde gegevens, zeer beperkte datalekkages of situaties zonder privacyrisico’s kan een melding achterwege blijven. Het is echter cruciaal om elk incident goed te documenteren en zorgvuldig te beoordelen of melding noodzakelijk is.
Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?
Nee, niet elk datalek vereist een melding bij de Autoriteit Persoonsgegevens (AP). De Algemene Verordening Gegevensbescherming (AVG) maakt een belangrijk onderscheid tussen meldingsplichtige en niet-meldingsplichtige datalekken. Het uitgangspunt is dat je alleen datalekken moet melden die een risico vormen voor de rechten en vrijheden van betrokkenen.
Een datalek moet worden gemeld als er bijvoorbeeld een grote kans bestaat op identiteitsfraude, financiële schade of reputatieschade voor betrokkenen. Situaties zonder reëel risico voor betrokkenen – zoals een interne e-mail met beperkte persoonsgegevens die naar een verkeerde collega is gestuurd – hoeven meestal niet gemeld te worden.
Het is wel essentieel om elk datalek intern te documenteren, ook als je besluit niet te melden. Dit is een verplichting die geldt voor alle organisaties die persoonsgegevens verwerken.
Wat is precies een datalek volgens de AVG?
De AVG definieert een datalek als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van – of toegang tot – persoonsgegevens. Dit omvat meer situaties dan je misschien zou denken.
Voorbeelden van datalekken zijn:
- Een gestolen of verloren laptop met persoonsgegevens
- Een gehackte database met klantinformatie
- Een ransomware-aanval waarbij gegevens worden versleuteld
- Een brief of e-mail met persoonsgegevens verstuurd naar een verkeerde ontvanger
- Een backup die niet meer terug te halen is
Het is belangrijk te begrijpen dat een datalek niet alleen opzettelijke kwaadwillende acties betreft. Ook onbedoelde fouten of technische problemen kunnen als datalek worden aangemerkt, zolang ze leiden tot ongeautoriseerde toegang tot persoonsgegevens of het verlies ervan.
Wanneer moet een datalek verplicht gemeld worden?
Je bent verplicht een datalek te melden aan de AP in twee belangrijke situaties:
- Wanneer het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen
- Wanneer je niet kunt uitsluiten dat er een risico is voor betrokkenen
Hierbij moet je rekening houden met factoren zoals:
- De aard, omvang en context van de betrokken persoonsgegevens
- Het aantal getroffen personen
- De mogelijke gevolgen voor betrokkenen
Bij een meldingsplichtig datalek moet je binnen 72 uur na ontdekking een melding doen bij de AP. Deze termijn geldt ook in weekenden en op feestdagen. In de melding geef je aan wat er is gebeurd, welke gegevens zijn gelekt, hoeveel personen getroffen zijn, welke maatregelen je hebt genomen en wie je contactpersoon is.
Hoe beoordeel ik of een datalek een risico vormt voor betrokkenen?
Het beoordelen van risico’s bij een datalek vraagt om een zorgvuldige afweging. Je kunt dit doen aan de hand van de volgende stappen:
- Beoordeel de aard van het datalek: Gaat het om verlies, vernietiging, wijziging of ongeoorloofde toegang?
- Analyseer de betrokken gegevens: Hoe gevoelig zijn de gegevens? Bijzondere persoonsgegevens zoals medische informatie of BSN-nummers brengen een hoger risico met zich mee.
- Schat de omvang in: Hoeveel personen zijn getroffen en hoeveel gegevens per persoon zijn gelekt?
- Overweeg mogelijke gevolgen: Kunnen betrokkenen slachtoffer worden van identiteitsfraude, financiële schade, discriminatie of reputatieschade?
Factoren die het risico verhogen zijn onder andere de betrokkenheid van gevoelige of financiële gegevens, een groot aantal getroffen personen, en het ontbreken van versleuteling of andere beveiligingsmaatregelen.
Welke datalekken hoef ik niet te melden?
Je hoeft een datalek niet te melden als het waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van betrokkenen. Voorbeelden hiervan zijn:
- Een datalek waarbij alle betrokken gegevens adequaat versleuteld waren en de sleutel niet is gecompromitteerd
- Een interne e-mail met beperkte persoonsgegevens die naar een verkeerde collega is gestuurd, die de informatie direct heeft verwijderd
- Het tijdelijk onbereikbaar zijn van persoonsgegevens door een kortstondige storing, zonder dat gegevens verloren zijn gegaan
- Een brief met persoonsgegevens die ongeopend retour komt en vervolgens bij de juiste ontvanger terechtkomt
Zelfs als je besluit een datalek niet te melden, ben je wel verplicht om het incident intern te documenteren in je datalekkenregister, inclusief de feiten, gevolgen en genomen maatregelen.
Wat zijn de gevolgen als ik een datalek niet meld terwijl dit wel moet?
Het niet melden van een meldingsplichtig datalek kan ernstige gevolgen hebben. De AP kan hiervoor forse boetes opleggen tot wel 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Naast financiële sancties kan het niet melden leiden tot:
- Aanvullende corrigerende maatregelen opgelegd door de AP
- Reputatieschade wanneer het incident alsnog bekend wordt
- Verlies van vertrouwen bij klanten en partners
- Mogelijke aansprakelijkheidsclaims van getroffen betrokkenen
De AP heeft in het verleden al boetes opgelegd voor het niet (tijdig) melden van datalekken, zoals een boete van €460.000 aan het Haga Ziekenhuis en €525.000 aan het OLVG.
Hoe meld ik een datalek bij de Autoriteit Persoonsgegevens?
Het melden van een datalek bij de AP doe je via het digitale meldingsformulier op de website van de AP. Hiervoor heb je de volgende informatie nodig:
- De aard en omvang van het datalek
- Wanneer het datalek heeft plaatsgevonden
- Welke persoonsgegevens betrokken zijn
- Welke maatregelen je hebt genomen of gaat nemen
- Of je betrokkenen hebt geïnformeerd of dit nog gaat doen
- Contactgegevens voor verdere communicatie
Na de eerste melding kun je deze later nog aanvullen als er nieuwe informatie beschikbaar komt. Het is belangrijk om zo compleet en transparant mogelijk te zijn in je communicatie met de AP.
Moet ik betrokkenen informeren over een datalek?
Naast het melden bij de AP, moet je in bepaalde gevallen ook de betrokkenen informeren over het datalek. Dit is verplicht wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen.
In je communicatie naar betrokkenen moet je in duidelijke en eenvoudige taal uitleggen:
- Wat er is gebeurd en welke gegevens zijn betrokken
- Wat de mogelijke gevolgen zijn voor de betrokkene
- Welke maatregelen je hebt genomen om het probleem op te lossen
- Wat betrokkenen zelf kunnen doen om risico’s te beperken
- Waar ze terecht kunnen met vragen
Je hoeft betrokkenen niet te informeren als de gelekte gegevens onleesbaar zijn voor onbevoegden (bijvoorbeeld door versleuteling), als je maatregelen hebt genomen die het risico wegnemen, of als het informeren onevenredig veel inspanning zou kosten.
Datalek meldprocedure: Essentiële stappen voor AVG-compliance
Het hebben van een degelijke datalek meldprocedure is cruciaal voor elke organisatie. Zorg ervoor dat je procedure tenminste deze elementen bevat:
- Een duidelijk proces voor het identificeren en vastleggen van datalekken
- Een beoordelingskader om te bepalen of melding noodzakelijk is
- Vastgelegde verantwoordelijkheden: wie doet wat bij een datalek?
- Voorbereidde communicatiesjablonen voor meldingen aan de AP en betrokkenen
- Een actueel register van alle datalekken, ook de niet-gemelde
Bij NTNT helpen we organisaties bij het opzetten van effectieve procedures voor datalekken. We zorgen dat je goed voorbereid bent en snel kunt handelen als er een datalek optreedt. Zo minimaliseer je de impact, voldoe je aan de wettelijke verplichtingen en bescherm je de privacy van betrokkenen én de reputatie van je organisatie.
