Nederland is binnen Europa een van de voorlopers als het gaat om ‘datalek-wetgeving’. De verplichting om een datalek te melden aan de Autoriteit Persoonsgegevens (AP) en de betrokkene, was vanaf januari 2016 onderdeel van onze good old Wet bescherming persoonsgegevens (Wbp). Inmiddels leven we in het AVG-tijdperk en daarmee is ook de meldplicht aangepast. Het beoordelen van een mogelijk datalek is er alleen niet eenvoudiger op geworden. In deze blog een AVG-update en aantal praktische tips.
Verschil uitleg datalekken in Wbp en AVG
Onder de Wbp moest een datalek aan de AP gemeld worden bij (een aanzienlijke kans op) ernstige nadelige gevolgen voor de betrokkene. Daarnaast moest de betrokkene – zeg maar het slachtoffer – worden geïnformeerd wanneer deze ‘waarschijnlijk ongunstige gevolgen’ heeft van het datalek. Met de AVG geldt er een ander criterium: een datalek moet gemeld worden bij de AP, tenzij het niet waarschijnlijk is dat de betrokkene door het datalek een risico loopt. De melding aan de betrokkene moet wanneer het datalek waarschijnlijk een hoog risico inhoudt. Twee keer ‘waarschijnlijk’ en twee keer ‘risico’, inschattingen die je zelf moet maken en niet vastgelegd of uitgelegd worden in de AVG. Hoe ga je daar mee om?
Risico of hoog risico?
De AVG heeft het over risico voor de rechten en vrijheden van natuurlijke personen als gevolg van een datalek. Dat kan materiële schade zijn (bijv. identiteitsdiefstal of fraude), maar ook immateriële schade valt hieronder (bijv. stigmatisering of reputatieschade).
Wanneer je als organisatie een mogelijk datalek constateert is het zaak om een risicobeoordeling te maken. In de AVG staat hierover weinig specifieks, maar de groep van Europese privacytoezichthouders heeft voor de meldplicht datalekken guidelines opgesteld, waar criteria om het risico te bepalen in zijn opgenomen. Een aantal criteria heb ik hieronder opgesomd:
– Het type datalek: is er inzage geweest of zijn de persoonsgegevens daadwerkelijk kwijt of vernietigd?
– De hoeveelheid en gevoeligheid van de persoonsgegevens: gaat het om NAW-gegevens of bijzondere persoonsgegevens (bijv. medische gegevens)?
– Hoeveel moeite kost het de oneigenlijke ontvanger om de betrokkenen te kunnen identificeren (waren de gegevens bijvoorbeeld beveiligd of gepseudonimiseerd)?
– Hoe ernstig zijn de mogelijke gevolgen van het datalek voor de betrokkene?
Elke datalek is weer anders en afhankelijk van de context. Zo kunnen bepaalde ‘onschuldig’ lijkende persoonsgegevens een gevoelig karakter krijgen. Denk aan een applicatie voor klanten met betaalachterstanden, waar enkel NAW-gegevens in staan. Het is daarom verstandig om de criteria van de Europese privacytoezichthouders specifiek te maken voor uw organisatie. Dat maakt het eenvoudiger om de puzzel te maken op het moment van een datalek. De meldingstermijn van 72 uur is immers kort, zeker wanneer je op vrijdagmiddag een datalek ontdekt!