Eerste hulp bij datalekken en cyberincidenten – deel 2: de meldplicht datalekken

Meldplicht datalekken

Nadat is vastgesteld dat het incident kwalificeert als een datalek, is het belangrijk om na te gaan of het datalek ook gemeld moet worden aan:

• De Autoriteit Persoonsgegevens (de ‘AP’);
• De personen van wie persoonsgegevens bij het datalek betrokken zijn (de ‘betrokkenen’); en
• Andere partijen, als daar contractuele afspraken mee zijn gemaakt.

Het melden van een datalek aan de AP en de betrokkenen is een verplichting van de verwerkingsverantwoordelijke. Maar als verwerker moet je datalekken wel op tijd aan de verwerkingsverantwoordelijke melden, volgens de contractuele afspraken die daarover zijn gemaakt.

Het kan zijn dat een datalek ook gemeld moet (gaan) worden aan het Nationaal Cyber Security Centrum. Daar komen we in een van onze volgende blogs in deze blogreeks nog op terug.

Wanneer moet een datalek gemeld worden aan de AP?

De hoofdregel is dat een datalek binnen 72 uur na kennisname gemeld moet worden aan de AP. Dat hoeft niet in het geval dat het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de bij het datalek betrokken personen. Het risico kan bestaan uit discriminatie, identiteitsdiefstal of -fraude, financieel verlies, reputatieschade, verlies van vertrouwelijkheid of ander nadeel. Om het risico te bepalen, moet een risicobeoordeling worden gemaakt. Deze risicobeoordeling kan worden gemaakt aan de hand van de volgende factoren:

• De aard van het datalek;
• De aard, gevoeligheid en omvang van de persoonsgegevens die bij het datalek betrokken zijn;
• Het gemak waarmee de betrokken personen kunnen worden geïdentificeerd;
• De ernst van de gevolgen voor de betrokken personen;
• Eventuele bijzondere kenmerken van de betrokken personen (bijv. kinderen of patiënten);
• Eventuele bijzondere kenmerken van de verwerkingsverantwoordelijke (bijv. een ziekenhuis of andere medische instelling); en
• Het aantal getroffen personen.

Wanneer moet een datalek gemeld worden aan de betrokkenen?

Het datalek moet zo snel als mogelijk worden gemeld aan de betrokken personen als het waarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokken personen. Deze beoordeling vindt plaats aan de hand van dezelfde punten als die hierboven zijn weergegeven.

In de volgende situaties hoeft het datalek niet te worden gemeld aan de betrokken personen:

1. De verwerkingsverantwoordelijke heeft passende technische en organisatorische maatregelen genomen ter bescherming van de persoonsgegevens die bij het datalek betrokken zijn. Bijvoorbeeld door de gegevens te versleutelen waardoor derden niets met de gegevens kunnen.
2. De verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de betrokken personen zich waarschijnlijk niet meer zal voordoen.
3. De melding aan de betrokken personen vergt een onevenredige inspanning. Bijvoorbeeld wanneer contactgegevens niet kunnen worden achterhaald. In dat geval kan een openbare melding volstaan.
4. De verwerkingsverantwoordelijke is een financiële onderneming (als bedoeld in de Wet op het financieel toezicht).
5. Er zijn andere legitieme redenen om niet te melden, zoals de nationale veiligheid, opsporing van strafbare feiten of in het kader van de journalistiek.

Wanneer moet een datalek gemeld worden aan andere partijen?

Een datalek moet gemeld worden aan andere partijen als daar met die andere partijen afspraken over zijn gemaakt. Als jouw organisatie verwerker is voor een andere organisatie, moet een datalek in elk geval op tijd worden gemeld aan de organisatie die de verwerkingsverantwoordelijke is. De exacte tijd waarbinnen deze melding moet worden gedaan is meestal opgenomen in de verwerkersovereenkomst.

Handhaving door de AP

Het niet, niet correct of niet op tijd melden van een meldplichtig datalek aan de AP of betrokkenen, is een overtreding van de Algemene Verordening Gegevensbescherming (‘AVG’). Bij overtredingen van de AVG kan de AP optreden. De AP kan bijvoorbeeld een waarschuwing of een boete opleggen en die publiceren. Boetes onder de AVG kunnen per overtreding oplopen tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (als dat hoger is). Als er meer aan de hand is, kunnen boetes oplopen tot de dubbele bedragen (20 miljoen euro of 4% van de jaaromzet).

Eerste hulp bij datalekken & cyberincidenten

Wat doe je als het misgaat? Het is niet altijd mogelijk om een datalek of ander cyberincident te voorkomen. Om organisaties te helpen, hebben wij een praktisch stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’ opgesteld. Dit stappenplan bestaat uit de volgende stappen:

De 13 stappen:

1. Breng de situatie in kaart.
2. Bel de verzekeraar.
3. Stel een crisisteam samen.
4. Neem direct maatregelen.
5. Check meldplicht bij het NCSC (binnen 24 uur).
6. Meld een datalek bij de AP (binnen 72 uur).
7. Informeer de betrokken personen.
8. Onderzoek alternatieve leveranciers of dienstverleners.
9. Doe aangifte bij de politie.
10. Werk meldingen tijdig bij.
11. Leg het incident vast in het interne register.
12. Onderzoek of schade te verhalen is.
13. Voorkom herhaling.

Via onderstaande knop is het uitgebreide stappenplan in een infographic te bekijken.

Stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’

In onze volgende blogs zullen wij dit stappenplan nader toelichten.