In januari 2020 zag ik op de site van de NOS een artikel waarin stond dat door 29 organisaties ‘mogelijke’ datalekken waren gemeld bij de Autoriteit Persoonsgegevens (hierna: de AP). Dit had te maken met de beveiligingsproblemen van de digitale werkomgeving Citrix.(1)
Auteur: Kelvin Moenis
Naast dat dit natuurlijk heel vervelend is, viel mij nog iets op aan deze titel: het woord ‘mogelijke’. Dit woord impliceert immers dat de organisaties zelf niet (zeker) wisten of er sprake was van een datalek en voor de zekerheid een melding hebben gemaakt. Overigens lijkt dit ook te volgen uit het pas gepubliceerde rapport van de AP, met betrekking tot de gemelde datalekken in 2019.(2) Nu is het beleid ‘better safe than sorry’ natuurlijk beter dan helemaal nooit een melding maken. Een relevante vraag is evenwel: weten organisaties én hun werknemers eigenlijk wel wat een datalek is en wanneer deze gemeld moet worden? Na enig rondvragen ‘op enkele overheidswerkvloeren’, kwam ik erachter dat er een hoop vraagtekens zijn rondom het begrip ‘datalek’ en wanneer er moet worden gemeld. Met deze bijdrage hoop ik dan ook deze vraagtekens grotendeels bij u weg te nemen en u te informeren over wanneer een datalek gemeld moet worden.
De Algemene Verordening Gegevensbescherming (AVG) hanteert overigens niet het begrip ‘datalek’ maar beschrijft dit als een ‘inbreuk in verband met persoonsgegevens’, wat wordt uitgelegd als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.(3) Met andere woorden, een ‘inbreuk in verband met persoonsgegevens’, oftewel het begrip ‘datalek’, kan vrij breed worden uitgelegd. Zo kan het gaan om een aanval van een hacker waarbij persoonsgegevens zijn buitgemaakt, maar ook om het per ongeluk versturen van een gevoelige brief naar een onjuist adres.
Alleen moet dan elke datalek, ook een zo alledaagse als het versturen van een brief naar een onjuist adres, dan altijd gemeld worden bij de AP?(4) Opvallend is dat deze vraag in de ‘Handleiding Algemene Verordening Gegevensbescherming’ (hierna: de Handleiding) wordt beantwoord met ‘ja, tenzij’(5) en door de AP met ‘nee, tenzij’.(6) Beide antwoorden komen wel tot dezelfde conclusie: indien het datalek een risico vormt voor de rechten en vrijheden van de betrokkene(n), dan moet een datalek gemeld worden bij de AP. Wanneer het datalek een hoog risico vormt, dient ook de betrokkene erover te worden geïnformeerd. De AP kan echter, door de vraag te beantwoorden met ‘nee, tenzij’, wel een andere mindset creëren bij de verwerkingsverantwoordelijke dan de Handleiding.(7) Wellicht dat de AP heeft gekozen om af te wijken van de terminologie in de Handleiding, om het aantal ontvangen datalekmeldingen terug te dringen. Zo heeft de AP alleen al over het jaar 2019 ruim 25.000 meldingen van datalekken gehad.(8) Overigens denk ik zelf dat een wat terughoudendere houding bij de verwerkingsverantwoordelijke, niet per definitie een slecht idee is. Zo geeft Bart Custers (hoogleraar Universiteit Leiden) in een artikel in de Trouw aan dat juist de grote hoeveelheid meldingen er voor zorgt dat de meldplicht zijn doel voorbijgaat.(9)
Of het datalek een risico of zelfs een hoog risico vormt voor de betrokkene, dient de verwerkingsverantwoordelijke objectief te beoordelen. Zo is bijvoorbeeld sprake van een (hoog) risico indien de kans bestaat dat de betrokkene als gevolg van het datalek slachtoffer wordt van discriminatie, identiteitsfraude, financiële verliezen, reputatieschade etc. Hoe groot het risico is en of het risico zich voordoet, hangt af van de aard van de ‘gelekte’ gegevens en dient dan ook naar de omstandigheden van het geval te worden beoordeeld. Zelfs indien u heeft vastgesteld dat sprake is van een (hoog) risico, dan nog hoeft u niet in alle gevallen het datalek te melden bij de AP (en de betrokkene). Zo hoeft u geen melding te maken in de volgende gevallen:(10)
1. U heeft voldoende maatregelen vooraf genomen. Nu vraagt u zich natuurlijk af wanneer u, als verwerkingsverantwoordelijke, vooraf voldoende maatregelen heeft genomen. U heeft voldoende maatregelen genomen als de gelekte persoonsgegevens onbegrijpelijk of niet inzichtelijk zijn voor de onbevoegde personen. Dit is bijvoorbeeld het geval indien uw laptop wordt gestolen, maar u heeft uw laptop, of specifiek de persoonsgegevens die erop staan, goed versleuteld. Wel is van belang dat de sleutel van de hashing (bijvoorbeeld uw wachtwoord) geen gevaar heeft gelopen bij het datalek, dat de gegevens nog intact zijn (u heeft bijvoorbeeld een back-up van de gegevens) én dat u door de getroffen maatregelen de volledige controle heeft behouden.(11)
2. De onjuiste ontvanger is betrouwbaar. ‘Betrouwbaar’ houdt in dat u er redelijk zeker van kunt zijn dat de onjuiste ontvanger geen kwaad in de zin heeft. Dus dat hij verder niets doet met de per ongeluk ontvangen gegevens. En dat hij zich houdt aan uw eventuele instructies, bijvoorbeeld om de persoonsgegevens terug te sturen of te vernietigen.(12) Bij deze betrouwbare ontvangers kunt u bijvoorbeeld denken aan partijen die een beroepsgeheim hebben, zoals dokters en advocaten. Daarnaast vallen partijen waar u al langere tijd een zakelijke relatie mee heeft onder ‘betrouwbare ontvangers’. Kortom, partijen die u kent en waarvan u weet dat u die kan vertrouwen.
Mocht uit deze bovenstaande toetsing komen dat het datalek niet gemeld hoeft te worden, dan dient u dit datalek alsnog te registreren in uw eigen datalekkenregister.
Hopelijk heb ik, door middel van deze uiteenzetting, enige vraagtekens omtrent het melden van datalekken kunnen wegnemen. Mocht u in een specifiek geval toch nog twijfelen of er sprake is van een datalek en zo ja, of er sprake is van een (hoog) risico voor de betrokkene, dan kunt u natuurlijk altijd nog het ‘better safe than sorry’ beleid hanteren.
(1) https://nos.nl/artikel/2319705-29-mogelijke-datalekken-gemeld-na-problemen-met-citrix.html.
(2) https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/jaarcijfers_meldplicht_datalekken _2019.pdf.
(3) Artikel 4, punt 12, AVG.
(4) Waarin persoonsgegevens zijn verwerkt.
(5) Handleiding Algemene Verordening Gegevensbescherming, par. 5.9.2, p. 64.
(6) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#moet-ik-alledatalekken-melden-bij-de-autoriteit-persoonsgegevens-5093.
(7) De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon die het doel en de middelen van de verwerkingen bepaalt.
(8) Meldplicht datalekken: facts & figures Overzicht feiten en cijfers 2019, p. 3 (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/jaarcijfers_meldplicht_datalekken_2019. pdf)
(9) https://www.trouw.nl/opinie/drie-redenen-waarom-meldplicht-datalekken-nietwerkt~b620117b/?utm_campaign=shared_earned&utm_medium=social&utm_source=copylink.
(10) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wanneer-hoef-ikeen-datalek-n%C3%ADet-te-melden-aan-de-ap-en-de-betrokken-personen-7333.
(11) Er van uitgaande dat er een sterk wachtwoord is gebruikt en niet een wachtwoord als ‘welkom01’.
(12) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#ik-hebpersoonsgegevens-gelekt-aan-een-betrouwbare-partij-moet-ik-dit-melden-aan-de-ap-en-de-betrokkenpersonen-7352.
Dit artikel is ook te vinden in het dossier Datalek