Wat is eigenlijk allemaal een datalek?

 in Privacy

Wat is eigenlijk allemaal een datalek?

Dat triggerde mij recent weer in het antwoord van de minister voor rechtsbescherming Sander Dekker, op 31 oktober 2018, op vragen van de Tweede Kamer. Hij antwoordde onder meer dat “Facebook alleen persoonsgegevens mag verwerken voor advertentiedoeleinden als de gebruiker daar helder en volledig over is geïnformeerd en daar toestemming voor heeft gegeven. Bij een gebrek aan deze heldere en volledige informatie kan een gebruiker geen rechtsgeldige toestemming geven voor het verwerken van zijn persoonsgegevens.” En iets verder in zijn antwoord: “Als er zonder toestemming persoonsgegevens waaronder telefoonnummers van gebruikers en niet-gebruikers van Facebook (bewust of onbewust) verstrekt worden aan advertentiebureaus, is er sprake van een datalek.”

In de AVG kom je het woord datalek als zodanig niet tegen maar “inbreuk in verband met persoonsgegevens” gedefinieerd als: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Het gaat dus in ieder geval om een inbreuk op de beveiliging in verband met persoonsgegevens. In artikel 32 van de AVG vind je de verplichting dat verwerkers en verantwoordelijken moeten zorgen voor een passend op het risico afgestemd beveiligingsniveau, zeg maar ter voorkoming van datalekken. Daarbij moet je kort gezegd bijvoorbeeld denken aan versleuteling van gegevens, permanente integriteit en veerkracht van de systemen, het vermogen bij een technisch incident het lek direct dicht te zetten, en het regelmatig testen van de beveiliging.

Voor een goed begrip van wat een datalek is zijn de “guidelines on personal data breach notification” van de werkgroep 29, inmiddels vervangen door de European Data Protection Board (EDPB), zeer lezenswaardig.

De guidelines maken duidelijk dat de focus bij data breach hoort te liggen bij het risico voor betrokkenen en hun persoonlijke gegevens. De AVG is alleen van toepassing in geval van een inbreuk op persoonlijke gegevens. De werkgroep ziet drie soorten inbreuken, die je ook duidelijk ziet terugkomen in de definitie van data inbreuk in de AVG. “Confidentiality breach”, ongeautoriseerde toegang tot persoonsgegevens, op per ongeluk ontsloten persoonsgegevens. “Integrity breach”, een ongeautoriseerde of per ongeluk ontstane verandering van persoonsgegevens. En “Availability breach”, ongeautoriseerd of per ongeluk ontstaan verlies van toegang tot data of het verloren gaan van persoonlijke data. Bij ongeautoriseerde toegang tot persoonsgegevens kun je ook denken aan het onrechtmatig verwerken van persoonsgegevens door deze te verstrekken aan partijen die niet geautoriseerd zijn deze persoonsgegevens te ontvangen omdat er bijvoorbeeld geen toestemming van een betrokkene is, zoals in de Facebookcase. De ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens zoals ook in de definitie van data inbreuk in de AVG is opgenomen.

Vaak hoor je zeggen ‘dit is geen datalek maar een veiligheidsincident’ of ‘securityincident’. Van een datalek of data inbreuk spreek je als er persoonsgegevens in het spel zijn. Daar zegt de werkgroep 29 over: iedere inbreuk op persoonsgegevens is noodzakelijkerwijs ook een security incident, terwijl dat omgekeerd niet noodzakelijk het geval is.

Als organisatie probeer je de informatiebeveiliging zo goed mogelijk in te richten en vooraf te voorkomen dat data of gegevens in handen kunnen komen van onbevoegden of dat gegevens verloren kunnen gaan. Toch kan het door verschillende oorzaken voorkomen dat data wordt gelekt of dat er inbreuk wordt gemaakt op de informatiebeveiliging. Hacking van systemen is aan de orde van de dag daar moet je echt op voorbereid zijn. Het is zeer belangrijk dat je als organisatie procedures hebt opgesteld waarin staat beschreven hoe je omgaat met datalekken en daar ben je onder de AVG ook toe verplicht.

Als er een datalek wordt geconstateerd zorg dan dat deze direct dicht wordt gezet en beoordeel het risico voor de datasubjecten. Gaat het om gevoelige gegevens zoals bijvoorbeeld creditcard gegevens, passwords, medische gegevens, BSN nummers en dergelijke dan is er een serieus risico voor betrokkenen en dien je deze direct te informeren. Als je verwerker bent dien je het onverwijld te melden aan de verwerkingsverantwoordelijke, die vervolgens moet beoordelen of melding aan de Autoriteit persoonsgegevens dient plaats te vinden. Intern dien je datalekken altijd te registreren als verplicht onder de AVG.

Een cybercrime verzekering is geen overbodige luxe. Schadeclaims kunnen hoog oplopen en denk daarbij bijvoorbeeld aan dure deskundigen rapporten. Schakel steeds een specialist in geval van een datalek en loop geen onnodige risico’s.

Voor vragen hierover kunt u uiteraard bij ons kantoor terecht, ik ben graag voor u beschikbaar, Bob Cordemeyer

Recente berichten
  • 27 december 2023

    Europe’s AI Act: The genie still out of the bottle?

    Emmely Schaaphok
    “The genie is out of the bottle. We need to move forward on artificial intelligence development but we also need to be mindful of its very real dangers. I fear that AI may replace humans altogether.” This quote from Stephen Hawking in 2017 is more relevant today than ever.
    Lees verder
  • 4 april 2023

    INPLP Activity Report 2022

    Bob Cordemeyer
    Hereunder you can read the Activity Report 2022 from our network INPLP (International Network of Privacy Law Professionals) of which our firm is a founding member since 2015.
    Lees verder
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder

Plaats een reactie

Top