Wat is eigenlijk allemaal een datalek?

 in Privacy

Wat is eigenlijk allemaal een datalek?

Dat triggerde mij recent weer in het antwoord van de minister voor rechtsbescherming Sander Dekker, op 31 oktober 2018, op vragen van de Tweede Kamer. Hij antwoordde onder meer dat “Facebook alleen persoonsgegevens mag verwerken voor advertentiedoeleinden als de gebruiker daar helder en volledig over is geïnformeerd en daar toestemming voor heeft gegeven. Bij een gebrek aan deze heldere en volledige informatie kan een gebruiker geen rechtsgeldige toestemming geven voor het verwerken van zijn persoonsgegevens.” En iets verder in zijn antwoord: “Als er zonder toestemming persoonsgegevens waaronder telefoonnummers van gebruikers en niet-gebruikers van Facebook (bewust of onbewust) verstrekt worden aan advertentiebureaus, is er sprake van een datalek.”

In de AVG kom je het woord datalek als zodanig niet tegen maar “inbreuk in verband met persoonsgegevens” gedefinieerd als: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Het gaat dus in ieder geval om een inbreuk op de beveiliging in verband met persoonsgegevens. In artikel 32 van de AVG vind je de verplichting dat verwerkers en verantwoordelijken moeten zorgen voor een passend op het risico afgestemd beveiligingsniveau, zeg maar ter voorkoming van datalekken. Daarbij moet je kort gezegd bijvoorbeeld denken aan versleuteling van gegevens, permanente integriteit en veerkracht van de systemen, het vermogen bij een technisch incident het lek direct dicht te zetten, en het regelmatig testen van de beveiliging.

Voor een goed begrip van wat een datalek is zijn de “guidelines on personal data breach notification” van de werkgroep 29, inmiddels vervangen door de European Data Protection Board (EDPB), zeer lezenswaardig.

De guidelines maken duidelijk dat de focus bij data breach hoort te liggen bij het risico voor betrokkenen en hun persoonlijke gegevens. De AVG is alleen van toepassing in geval van een inbreuk op persoonlijke gegevens. De werkgroep ziet drie soorten inbreuken, die je ook duidelijk ziet terugkomen in de definitie van data inbreuk in de AVG. “Confidentiality breach”, ongeautoriseerde toegang tot persoonsgegevens, op per ongeluk ontsloten persoonsgegevens. “Integrity breach”, een ongeautoriseerde of per ongeluk ontstane verandering van persoonsgegevens. En “Availability breach”, ongeautoriseerd of per ongeluk ontstaan verlies van toegang tot data of het verloren gaan van persoonlijke data. Bij ongeautoriseerde toegang tot persoonsgegevens kun je ook denken aan het onrechtmatig verwerken van persoonsgegevens door deze te verstrekken aan partijen die niet geautoriseerd zijn deze persoonsgegevens te ontvangen omdat er bijvoorbeeld geen toestemming van een betrokkene is, zoals in de Facebookcase. De ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens zoals ook in de definitie van data inbreuk in de AVG is opgenomen.

Vaak hoor je zeggen ‘dit is geen datalek maar een veiligheidsincident’ of ‘securityincident’. Van een datalek of data inbreuk spreek je als er persoonsgegevens in het spel zijn. Daar zegt de werkgroep 29 over: iedere inbreuk op persoonsgegevens is noodzakelijkerwijs ook een security incident, terwijl dat omgekeerd niet noodzakelijk het geval is.

Als organisatie probeer je de informatiebeveiliging zo goed mogelijk in te richten en vooraf te voorkomen dat data of gegevens in handen kunnen komen van onbevoegden of dat gegevens verloren kunnen gaan. Toch kan het door verschillende oorzaken voorkomen dat data wordt gelekt of dat er inbreuk wordt gemaakt op de informatiebeveiliging. Hacking van systemen is aan de orde van de dag daar moet je echt op voorbereid zijn. Het is zeer belangrijk dat je als organisatie procedures hebt opgesteld waarin staat beschreven hoe je omgaat met datalekken en daar ben je onder de AVG ook toe verplicht.

Als er een datalek wordt geconstateerd zorg dan dat deze direct dicht wordt gezet en beoordeel het risico voor de datasubjecten. Gaat het om gevoelige gegevens zoals bijvoorbeeld creditcard gegevens, passwords, medische gegevens, BSN nummers en dergelijke dan is er een serieus risico voor betrokkenen en dien je deze direct te informeren. Als je verwerker bent dien je het onverwijld te melden aan de verwerkingsverantwoordelijke, die vervolgens moet beoordelen of melding aan de Autoriteit persoonsgegevens dient plaats te vinden. Intern dien je datalekken altijd te registreren als verplicht onder de AVG.

Een cybercrime verzekering is geen overbodige luxe. Schadeclaims kunnen hoog oplopen en denk daarbij bijvoorbeeld aan dure deskundigen rapporten. Schakel steeds een specialist in geval van een datalek en loop geen onnodige risico’s.

Voor vragen hierover kunt u uiteraard bij ons kantoor terecht, ik ben graag voor u beschikbaar, Bob Cordemeyer

Recente berichten
  • 2 november 2018

    Wat is eigenlijk allemaal een datalek?

    Bob Cordemeyer
    Wat is eigenlijk allemaal een datalek? Dat triggerde mij recent weer in het antwoord van de minister voor rechtsbescherming Sander Dekker, op 31 oktober 2018, op vragen van de Tweede Kamer. Hij antwoordde onder meer dat “Facebook alleen persoonsgegevens mag verwerken voor advertentiedoeleinden als de gebruiker daar helder en volledig over is geïnformeerd en daar
    Lees verder
  • 31 oktober 2018

    Journalistieke vrijheid versus bijzondere persoonsgegevens seksueel gedrag art 9 AVG

    Bob Cordemeyer
    Het televisieprogramma Undercover had aan de hand van de ervaringen van een betrokkene met een sekswerkster, waarbij een slachtoffer was opgelicht, een heimelijke opname gemaakt van de sekswerkster en een telefoongesprek van die betrokkene opgenomen met de sekswerkster. De sekswerkster zou te zien zijn in het programma, waarbij zij deels onherkenbaar was gemaakt.
    Lees verder
  • 31 oktober 2018

    Het is zover: de Autoriteit Persoonsgegevens dwingt UWV met sanctie gegevens beter te beveiligen

    Bob Cordemeyer
    Uit een persbericht van 30 oktober 2018 van de Autoriteit Persoonsgegevens (hierna: de AP) blijkt dat de AP het UWV een last onder dwangsom van 150.000 euro per maand met een maximum van 900.000 euro heeft opgelegd omdat het beveiligingsniveau van het werkgeversportaal niet voldoet.
    Lees verder

Plaats een reactie

Top