Help, een datalek! Moet ik nu melden?

Vanaf 1 januari moet u datalekken melden bij de Autoriteit persoonsgegevens (Ap). Hoe gaat dit in zijn werk? De volledige beleidsregels beslaan vijftig pagina’s, met uitgebreide toelichting en voorbeelden. Ontdek hoe u in zes stappen de situatie inschat en beoordeelt of melding nodig is.

In aanvulling op de meldplicht zijn er beleidsregels gepubliceerd. Deze helpen u bepalen of u een datalek moet melden. Belangrijk om door te nemen vóór zich in 2016 een eventueel datalek aandient. Gebruik ook altijd de originele beleidsregels om uw afweging te maken. Of schakel uw adviseur in.

Stap 1: is de meldplicht van toepassing?
De meldplicht datalekken is van toepassing als u drie keer ‘ja’ antwoordt:

  • Gaat het om persoonsgegevens?
    Persoonsgegevens zijn alle gegevens waarmee iemand identificeerbaar is. Bijvoorbeeld: naam en adresgegevens, e-mailadressen, geboortedatum, bankrekeningnummers en alle andere informatie die leidt naar een persoon.
  • Bent u de verantwoordelijke voor de verwerking van de persoonsgegevens?De meeste ondernemers zijn de verantwoordelijke voor de gegevens van klanten en personeel. Als u bewerker bent van de gelekte persoonsgegevens is de meldplicht niet van toepassing. 

    Een bewerker verwerkt persoonsgegevens in opdracht van anderen. Bijvoorbeeld een mailingdienst, pakketbezorger, ICT-dienstverlener of softwareleverancier. Een bewerker meldt een datalek aan de verantwoordelijke en voorziet de verantwoordelijke van de nodig informatie om te melden.

     

    Bedrijven kunnen voor een deel van de persoonsgegevens verantwoordelijke zijn en voor een ander deel bewerker.

     

  • Is de Wet bescherming persoonsgegevens (Wbp) van toepassing?De Wbp en dus ook de meldplicht zijn niet van toepassing als: 
    • de verwerking alléén bedoeld is voor persoonlijke, huishoudelijke, journalistieke, artistieke of literaire doelen, en/of
    • er handmatige gegevens worden verwerkt die ook later niet in een bestand worden opgenomen, en/of
    • er specifieke wetgeving van toepassing is (gemeentelijke basisadministratie, krijgsmacht), en/of
    • de verantwoordelijke niet is gevestigd in Nederland en er ook geen geautomatiseerde middelen in Nederland worden gebruikt.

Stap 2: is dit een datalek?
Een datalek is elke situatie waarin persoonsgegevens verloren zijn gegaan of blootgesteld (kunnen) zijn geweest aan onbevoegde verwerking.

Verwerking is een breed begrip. Het omvat alles wat met persoonsgegevens kan gebeuren. De wet noemt: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, doorzenden, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen, vernietigen.

Onbevoegde verwerking is verwerking door iemand die daarvoor niet bevoegd is. Dit komt niet altijd van buiten. Berucht is het inzien van dossiers door medewerkers voor wie dat – gezien hun taken – niet noodzakelijk is.

Kunt u niet uitsluiten dat een beveiligingsincident heeft geleid tot onrechtmatige verwerking? Dan moet u het als een datalek behandelen. Niet relevant zijn: de oorzaak van het datalek en het niveau van beveiliging.

Enkele voorbeelden:

Incident

 

Datalek?
Verloren usb-stick of gestolen laptop. Ja, als de gegevens niet adequaat zijn versleuteld.

 

Ja, als er geen volledige, actuele reservekopie is van de gegevens.

 

Inbraak door een hacker. Ja, hacker heeft mogelijk persoonsgegevens ingezien.

 

Password aan iemand gegeven, die zo toegang kreeg tot persoonsgegevens.

 

Ja, want die ander heeft persoonsgegevens ingezien.
Malwarebesmetting. Ja, malware zoekt waardevolle (persoons)gegevens.

 

Calamiteit (zoals brand in een datacentrum) waarbij gegevens verloren zijn gegaan.

 

Ja ,als er geen volledige, actuele reservekopie is van de gegevens.

 

Bij een software-update gingen documenten met persoonsgegevens verloren.

 

Ja, als er geen volledige, actuele reservekopie is van de gegevens.

 

Nee, als er wel zo’n complete en actuele reservekopie is.

 

Door een software- of installatiefout konden klanten de gegevens inzien van andere klanten.

 

Ja want onbevoegden hebben persoonsgegevens kunnen inzien.

 

Stap 3: meld ik dit datalek aan de Ap?
U moet melden als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval als:

  • er gevoelige persoonsgegevens zijn gelekt, wat kan leiden tot stigmatisering, uitsluiting, (identiteits)fraude of gezondheids- of financiële schade, en/of
  • de aard en omvang van de inbreuk de kans vergroten op ernstige nadelige gevolgen, bijvoorbeeld omdat de betrokkene (persoon wiens gegevens het betreft) zelf niet goed in staat is zich te verweren tegen de gevolgen.
Categorie gevoelige persoonsgegevens Voorbeelden

 

Gegevens die volgens artikel 16 van de Wbp alléén verwerkt mogen worden onder specifieke voorwaarden. Godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag.

 

Gegevens over financiële of economische situatie.

 

Schulden, salaris- en betaalgegevens.
Gegevens die kunnen leiden tot stigmatisering of uitsluiting. Gegevens over gokverslaving, relatieproblemen of school- of werkprestaties

 

Gegevens voor ICT-toegang. Gebruikersnamen, wachtwoorden en andere inloggegevens.

 

Gegevens die misbruikt kunnen worden voor identiteitsfraude. Biometrische gegevens, kopieën van identiteitsbewijzen en burgerservicenummer (BSN).

 

Gegevens waarop een wettelijke geheimhoudingsplicht of een beroepsgeheim rust.

 

DNA-databanken en medisch beroepsgeheim.

Let op: in relatie met andere gegevens
Het gaat niet uitsluitend om de persoonsgegevens zelf. Ook de relatie met andere gegevens telt mee. Zo bevat een lijst met namen en e-mailadressen voor een e-mailnieuwsbrief geen gevoelige persoonsgegevens. Behalve als de nieuwsbrief zich richt op een ‘gevoelige doelgroep’, zoals de COC-leden of kankerpatiënten.

Aard en omvang Voorbeelden

 

Veel persoonsgegevens van één of meer personen. Een heel dossier of financiële informatie over een langere periode.

 

Als met de gegevens ingrijpende beslissingen worden genomen.

 

Kredietwaardigheid bepalen.
Persoonsgegevens die binnen ketens worden gedeeld (vaak overheid).

 

Suwinet, waar de overheid gegevens over werk en inkomen uitwisselt.
Persoonsgegevens van kwetsbare groepen.

 

Risico voor stalking, verstandelijke handicap, ouderen, kinderen.

Stap 4: meld ik dit datalek aan betrokkenen?
Als u een datalek moet melden aan de Ap moet u in sommige situaties het datalek ook (onverwijld) melden aan de betrokkenen. De betrokkene is eigenaar van zijn of haar persoonsgegevens en heeft het recht om te weten wat hiermee gebeurt. Ook kan een geïnformeerde betrokkene extra alert zijn en maatregelen nemen om (verdere) schade te voorkomen. Bijvoorbeeld door wachtwoorden te veranderen.

De feiten en omstandigheden bepalen of melding aan de betrokkene verplicht is. Per situatie, dus bij elk incident opnieuw, maakt u zelf deze afweging. Besluit u niet te melden? Dan is het mogelijk dat de Ap u alsnog verplicht dit te doen.

Melding aan betrokkenen is niet verplicht in de volgende situaties:

Melding aan betrokkenen niet verplicht Voorbeelden

 

Voor financiële ondernemingen volgens Wet op het financieel toezicht.

 

Bank.
Cryptografie biedt voldoende bescherming. Adequate encryptie of hashing op het moment van de inbreuk maakt de persoonsgegevens onbegrijpelijk of ontoegankelijk voor onbevoegden.

 

Andere technische maatregelen beschermen voldoende.

 

Op afstand wissen (remote wiping), gegevens zijn geanonimiseerd.
Waarschijnlijk geen ongunstige gevolgen voor persoonlijke levenssfeer. Als melding aan Ap niet verplicht is (want back-up beschikbaar, geen bijzondere gegevens, zeer klein aantal gegevens etc.).

 

Zwaarwegende redenen. Hulpvragen door kinderen zonder medeweten van hun ouders.

 

Beursgenoteerde onderneming die bezig is met een overname.

 

 

Stap 5: welke gegevens leg ik vast over dit datalek?
U moet een overzicht bijhouden van alle datalekken die onder de meldplicht vallen. Per datalek legt u vast:

  • feiten en gegevens over de aard van de inbreuk, zoals logfiles
  • de melding aan de Ap
  • tekst van kennisgeving aan betrokkenen
  • correspondentie met de Ap, betrokkenen, derden en binnen uw bedrijf

De gegevens over een datalek bewaart u minimaal één jaar. Als u inschat dat melding aan betrokkenen niet nodig is, bewaart u de gegevens drie jaar en blijft u alert op risico’s. Want nieuwe technieken kunnen weer nieuwe kwetsbaarheid opleveren. U beoordeelt jaarlijks opnieuw of melding aan betrokkenen alsnog nodig is.

Stap 6: de melding
Melding gebeurt via een webformulier, dat binnenkort op de website van de Ap komt. De vragen zijn al bekend, zie de bijlage van de beleidsregels voor toepassing van artikel 34a van de Wbp.

U meldt het datalek binnen 72 uur na de ontdekking (weekenddagen meegerekend). Is er aanleiding tot nadere actie? Dan neemt de Ap contact met u op. Niet melden kan forse boetes opleveren: tot 820.000 euro per overtreding. Dat geldt ook voor andere overtredingen van de Wbp, die beschouwd kunnen worden als ernstig verwijtbare nalatigheid.

Extra aandacht is nodig als het datalek zich voordeed bij een bewerker: iemand die in uw opdracht de persoonsgegevens verwerkt maar niet bij u in dienst is. Ook dan bent u verantwoordelijk voor tijdige melding. Hiervoor heeft u informatie nodig van die bewerker. Maak vooraf heldere afspraken in een bewerkersovereenkomst.

De Ap houdt een register bij van datalekmeldingen. Dit register is niet openbaar. Van u als verantwoordelijke wordt verwacht dat u de oorzaak van het datalek opspoort en maatregelen treft om herhaling te voorkomen.