Wat is eigenlijk allemaal een datalek?

 in Privacy

Wat is eigenlijk allemaal een datalek?

Dat triggerde mij recent weer in het antwoord van de minister voor rechtsbescherming Sander Dekker, op 31 oktober 2018, op vragen van de Tweede Kamer. Hij antwoordde onder meer dat “Facebook alleen persoonsgegevens mag verwerken voor advertentiedoeleinden als de gebruiker daar helder en volledig over is geïnformeerd en daar toestemming voor heeft gegeven. Bij een gebrek aan deze heldere en volledige informatie kan een gebruiker geen rechtsgeldige toestemming geven voor het verwerken van zijn persoonsgegevens.” En iets verder in zijn antwoord: “Als er zonder toestemming persoonsgegevens waaronder telefoonnummers van gebruikers en niet-gebruikers van Facebook (bewust of onbewust) verstrekt worden aan advertentiebureaus, is er sprake van een datalek.”

In de AVG kom je het woord datalek als zodanig niet tegen maar “inbreuk in verband met persoonsgegevens” gedefinieerd als: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Het gaat dus in ieder geval om een inbreuk op de beveiliging in verband met persoonsgegevens. In artikel 32 van de AVG vind je de verplichting dat verwerkers en verantwoordelijken moeten zorgen voor een passend op het risico afgestemd beveiligingsniveau, zeg maar ter voorkoming van datalekken. Daarbij moet je kort gezegd bijvoorbeeld denken aan versleuteling van gegevens, permanente integriteit en veerkracht van de systemen, het vermogen bij een technisch incident het lek direct dicht te zetten, en het regelmatig testen van de beveiliging.

Voor een goed begrip van wat een datalek is zijn de “guidelines on personal data breach notification” van de werkgroep 29, inmiddels vervangen door de European Data Protection Board (EDPB), zeer lezenswaardig.

De guidelines maken duidelijk dat de focus bij data breach hoort te liggen bij het risico voor betrokkenen en hun persoonlijke gegevens. De AVG is alleen van toepassing in geval van een inbreuk op persoonlijke gegevens. De werkgroep ziet drie soorten inbreuken, die je ook duidelijk ziet terugkomen in de definitie van data inbreuk in de AVG. “Confidentiality breach”, ongeautoriseerde toegang tot persoonsgegevens, op per ongeluk ontsloten persoonsgegevens. “Integrity breach”, een ongeautoriseerde of per ongeluk ontstane verandering van persoonsgegevens. En “Availability breach”, ongeautoriseerd of per ongeluk ontstaan verlies van toegang tot data of het verloren gaan van persoonlijke data. Bij ongeautoriseerde toegang tot persoonsgegevens kun je ook denken aan het onrechtmatig verwerken van persoonsgegevens door deze te verstrekken aan partijen die niet geautoriseerd zijn deze persoonsgegevens te ontvangen omdat er bijvoorbeeld geen toestemming van een betrokkene is, zoals in de Facebookcase. De ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens zoals ook in de definitie van data inbreuk in de AVG is opgenomen.

Vaak hoor je zeggen ‘dit is geen datalek maar een veiligheidsincident’ of ‘securityincident’. Van een datalek of data inbreuk spreek je als er persoonsgegevens in het spel zijn. Daar zegt de werkgroep 29 over: iedere inbreuk op persoonsgegevens is noodzakelijkerwijs ook een security incident, terwijl dat omgekeerd niet noodzakelijk het geval is.

Als organisatie probeer je de informatiebeveiliging zo goed mogelijk in te richten en vooraf te voorkomen dat data of gegevens in handen kunnen komen van onbevoegden of dat gegevens verloren kunnen gaan. Toch kan het door verschillende oorzaken voorkomen dat data wordt gelekt of dat er inbreuk wordt gemaakt op de informatiebeveiliging. Hacking van systemen is aan de orde van de dag daar moet je echt op voorbereid zijn. Het is zeer belangrijk dat je als organisatie procedures hebt opgesteld waarin staat beschreven hoe je omgaat met datalekken en daar ben je onder de AVG ook toe verplicht.

Als er een datalek wordt geconstateerd zorg dan dat deze direct dicht wordt gezet en beoordeel het risico voor de datasubjecten. Gaat het om gevoelige gegevens zoals bijvoorbeeld creditcard gegevens, passwords, medische gegevens, BSN nummers en dergelijke dan is er een serieus risico voor betrokkenen en dien je deze direct te informeren. Als je verwerker bent dien je het onverwijld te melden aan de verwerkingsverantwoordelijke, die vervolgens moet beoordelen of melding aan de Autoriteit persoonsgegevens dient plaats te vinden. Intern dien je datalekken altijd te registreren als verplicht onder de AVG.

Een cybercrime verzekering is geen overbodige luxe. Schadeclaims kunnen hoog oplopen en denk daarbij bijvoorbeeld aan dure deskundigen rapporten. Schakel steeds een specialist in geval van een datalek en loop geen onnodige risico’s.

Voor vragen hierover kunt u uiteraard bij ons kantoor terecht, ik ben graag voor u beschikbaar, Bob Cordemeyer

Recente berichten
  • 22 mei 2019

    Ongewenst gedrag leidinggevende. Wat wordt er van de werkgever verwacht?

    Evelien van den Berg
    In een recente uitspraak heeft Hof ’s-Hertogenbosch nader invulling gegeven aan de zorgplicht die een werkgever heeft op grond van de Arbeidsomstandighedenwet.
    Lees verder
  • 24 april 2019

    Cocaïne op het werk

    Marion Hagenaars
    Cocaïne tijdens een bedrijfsuitje? Gedragsregels op orde? Werk en privé zijn gescheiden. Dat is in ieder geval het uitgangspunt. Als werkgever gaat u dus niet over het uitoefenen van gevaarlijke sporten, mishandeling van partners, uitlatingen op social media, wietplantages op zolder, drank- en drugsgebruik. Maar wat geldt tijdens bedrijfsuitjes?
    Lees verder
  • 2 april 2019

    Protection of health-related data: Council of Europe issues new guidelines

    Bob Cordemeyer
    The press release of the Council of Europe March 28, 2019: “ The Council of Europe has issued a set of guidelines to its 47 member states urging them to ensure, in law and practice, that the processing of health-related data is done in full respect of human rights, notably the right to privacy and
    Lees verder

Plaats een reactie

Top