Een datalek: vroeg of laat krijgt ook uw bedrijf er waarschijnlijk mee te maken. Dit komt doordat een datalek in de zin van de AVG een breed begrip is. Niet alleen een hack of een 'lek' in de letterlijke zin van het woord levert een datalek op, maar elke “inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”, zoals de definitie in de wet luidt. Er is dus ook sprake van een datalek als uw stagiair per ongeluk een deel van de klantendatabase, met de daarin opgeslagen contactgegevens van uw klanten, permanent wist.
Indien er inderdaad sprake is van een datalek dan moet deze vaak worden gemeld aan de Autoriteit Persoonsgegevens (AP). Uitzondering op deze regel is wanneer het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat kan bijvoorbeeld zo zijn wanneer er van de informatie die de bovengenoemde stagiair heeft gewist een werkende back-up beschikbaar is. Er is echter niet snel sprake van een uitzondering op de verplichting om te melden aan de AP. Bij een incident doet u er daarom verstandig aan uit te gaan van een meldplicht, omdat deze melding aan de AP binnen 72 uur moet worden gedaan.
Naast de meldplicht aan de toezichthouder (de AP) kent de Algemene verordening gegevensbescherming (AVG) ook een verplichting om een datalek te melden aan de personen op wiens persoonsgegevens het incident betrekking heeft (de betrokkenen). De lat voor het melden aan betrokkenen ligt hoger dan de lat voor het melden aan de AP. Het datalek moet namelijk aan de betrokkene worden gemeld als het waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Daarvan is in ieder geval sprake als er sprake is van een lek van bijzondere persoonsgegevens, maar ook andere factoren, het aantal personen van wie persoonsgegevens is gelekt, kunnen maken dat melding aan de betrokkenen noodzakelijk is. Een schoolvoorbeeld van dit laatste criterium is wanneer zich bij een socialmediaplatform een hack heeft voorgedaan, waarbij van een groot aantal gebruikers de e-mailadressen en wachtwoorden zijn buitgemaakt.
Als een datalek niet aan de AP moet worden gemeld, omdat het niet waarschijnlijk is dat het datalek een risico inhoudt voor rechten en vrijheden van personen, dan hoeft deze ook niet aan betrokkenen te worden gemeld. Dit belet organisaties overigens niet om vrijwillig het incident te melden aan de betrokkenen, omwille van de transparantie naar hun klanten / gebruikers, of omdat zij vinden dat dat the right thing to do is.
Naast dat een bedrijf bij te maken kan krijgen met de beoordeling of er sprake is van een datalek en of melding aan de AP / betrokkenen noodzakelijk is, kan een organisatie ook nog te maken krijgen met perikelen rondom het IT / forensisch onderzoek, eventueel het te woord staan van de pers, de communicatie met de AP en het eventueel doen van aangifte tegen de veroorzaker van het datalek. Ervaring leert dat hier zorgvuldig mee om moet worden gegaan. Een datalek heeft immers niet alleen interne gevolgen, maar kan ook gevolgen hebben voor bestaande en toekomstige (klant)relaties en het imago van de onderneming.
In de cursus Datalekken voor bedrijfsjuristen op 3 december aanstaande komen alle onderwerpen aan bod die nodig zijn om de gevolgen van een echt (mogelijk) datalek in de praktijk in te schatten en de juiste vervolgstappen te bepalen. Onderdeel van de cursus is een dataleksimulatie, waarbij de kennis direct wordt toegepast op een casus. Klik hier voor meer informatie.
Meer artikelen van Kennedy Van der Laan