Wat is eigenlijk allemaal een datalek?

 in Privacy

Wat is eigenlijk allemaal een datalek?

Dat triggerde mij recent weer in het antwoord van de minister voor rechtsbescherming Sander Dekker, op 31 oktober 2018, op vragen van de Tweede Kamer. Hij antwoordde onder meer dat “Facebook alleen persoonsgegevens mag verwerken voor advertentiedoeleinden als de gebruiker daar helder en volledig over is geïnformeerd en daar toestemming voor heeft gegeven. Bij een gebrek aan deze heldere en volledige informatie kan een gebruiker geen rechtsgeldige toestemming geven voor het verwerken van zijn persoonsgegevens.” En iets verder in zijn antwoord: “Als er zonder toestemming persoonsgegevens waaronder telefoonnummers van gebruikers en niet-gebruikers van Facebook (bewust of onbewust) verstrekt worden aan advertentiebureaus, is er sprake van een datalek.”

In de AVG kom je het woord datalek als zodanig niet tegen maar “inbreuk in verband met persoonsgegevens” gedefinieerd als: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Het gaat dus in ieder geval om een inbreuk op de beveiliging in verband met persoonsgegevens. In artikel 32 van de AVG vind je de verplichting dat verwerkers en verantwoordelijken moeten zorgen voor een passend op het risico afgestemd beveiligingsniveau, zeg maar ter voorkoming van datalekken. Daarbij moet je kort gezegd bijvoorbeeld denken aan versleuteling van gegevens, permanente integriteit en veerkracht van de systemen, het vermogen bij een technisch incident het lek direct dicht te zetten, en het regelmatig testen van de beveiliging.

Voor een goed begrip van wat een datalek is zijn de “guidelines on personal data breach notification” van de werkgroep 29, inmiddels vervangen door de European Data Protection Board (EDPB), zeer lezenswaardig.

De guidelines maken duidelijk dat de focus bij data breach hoort te liggen bij het risico voor betrokkenen en hun persoonlijke gegevens. De AVG is alleen van toepassing in geval van een inbreuk op persoonlijke gegevens. De werkgroep ziet drie soorten inbreuken, die je ook duidelijk ziet terugkomen in de definitie van data inbreuk in de AVG. “Confidentiality breach”, ongeautoriseerde toegang tot persoonsgegevens, op per ongeluk ontsloten persoonsgegevens. “Integrity breach”, een ongeautoriseerde of per ongeluk ontstane verandering van persoonsgegevens. En “Availability breach”, ongeautoriseerd of per ongeluk ontstaan verlies van toegang tot data of het verloren gaan van persoonlijke data. Bij ongeautoriseerde toegang tot persoonsgegevens kun je ook denken aan het onrechtmatig verwerken van persoonsgegevens door deze te verstrekken aan partijen die niet geautoriseerd zijn deze persoonsgegevens te ontvangen omdat er bijvoorbeeld geen toestemming van een betrokkene is, zoals in de Facebookcase. De ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens zoals ook in de definitie van data inbreuk in de AVG is opgenomen.

Vaak hoor je zeggen ‘dit is geen datalek maar een veiligheidsincident’ of ‘securityincident’. Van een datalek of data inbreuk spreek je als er persoonsgegevens in het spel zijn. Daar zegt de werkgroep 29 over: iedere inbreuk op persoonsgegevens is noodzakelijkerwijs ook een security incident, terwijl dat omgekeerd niet noodzakelijk het geval is.

Als organisatie probeer je de informatiebeveiliging zo goed mogelijk in te richten en vooraf te voorkomen dat data of gegevens in handen kunnen komen van onbevoegden of dat gegevens verloren kunnen gaan. Toch kan het door verschillende oorzaken voorkomen dat data wordt gelekt of dat er inbreuk wordt gemaakt op de informatiebeveiliging. Hacking van systemen is aan de orde van de dag daar moet je echt op voorbereid zijn. Het is zeer belangrijk dat je als organisatie procedures hebt opgesteld waarin staat beschreven hoe je omgaat met datalekken en daar ben je onder de AVG ook toe verplicht.

Als er een datalek wordt geconstateerd zorg dan dat deze direct dicht wordt gezet en beoordeel het risico voor de datasubjecten. Gaat het om gevoelige gegevens zoals bijvoorbeeld creditcard gegevens, passwords, medische gegevens, BSN nummers en dergelijke dan is er een serieus risico voor betrokkenen en dien je deze direct te informeren. Als je verwerker bent dien je het onverwijld te melden aan de verwerkingsverantwoordelijke, die vervolgens moet beoordelen of melding aan de Autoriteit persoonsgegevens dient plaats te vinden. Intern dien je datalekken altijd te registreren als verplicht onder de AVG.

Een cybercrime verzekering is geen overbodige luxe. Schadeclaims kunnen hoog oplopen en denk daarbij bijvoorbeeld aan dure deskundigen rapporten. Schakel steeds een specialist in geval van een datalek en loop geen onnodige risico’s.

Voor vragen hierover kunt u uiteraard bij ons kantoor terecht, ik ben graag voor u beschikbaar, Bob Cordemeyer

Recente berichten
  • 16 november 2021

    Geluidsopnames door werknemers: voer voor verstoorde verhoudingen

    Marion Hagenaars
    Werkgever verwijt werknemer het heimelijk opnemen van een gesprek. Ten onrechte, aldus de kantonrechter. Wat speelt er? Werknemer werkt als zelfstandig werkend kok bij Blooming Hotel. Blooming heeft het UWV om een ontslagvergunning gevraagd wegens bedrijfseconomische redenen. De vergunning wordt geweigerd. Blooming heeft zich onvoldoende ingespannen om werknemer te herplaatsen. Vervolgens gaat werknemer werkzaamheden verrichten
    Lees verder
  • 12 oktober 2021

    Vakantiedagen zieke werknemer: uitbetalen of vervallen?

    Marion Hagenaars
    Ingewikkelde materie: het opbouwen, opnemen en vervallen van vakantiedagen tijdens ziekte.
    Lees verder
  • 4 oktober 2021

    Actualiteiten arbeidsrecht voor HR-professionals en bedrijfsjuristen

    Marion Hagenaars
    Nieuwe online datum voor het Seminar Actualiteiten Arbeidsrecht 2 december 2021 Door de aangescherpte regelgeving rondom COVID gaan de drie geplande bijeenkomsten op 16, 17 en 18 november a.s. niet door. Daarvoor in de plaats wordt het seminar via ZOOM aangeboden op 2 december 2021, van 13.30 uur – 15.00 uur. Tijdens deze bijeenkomst worden
    Lees verder

Plaats een reactie

Top