Vergroot contrast
  1. Beveiliging
  2. Meldplicht datalekken

Meldplicht datalekken

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

Meldplicht datalekken onder de AVG

De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Europese privacywet die sinds 25 mei 2018 geldt, de Algemene verordening gegevensbescherming (AVG), blijft de meldplicht datalekken bestaan.

De AVG stelt wel strengere eisen aan de registratie van de datalekken in een organisatie. Organisaties moeten alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of zij aan de meldplicht datalekken hebben voldaan.

Datalek melden

Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldloket datalekken. Heeft u een vraag over het melden van datalekken of over datalekken in het algemeen? En kunt u de informatie niet op onze website vinden? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten.

In het privacystatement formulier meldplicht datalekken staat hoe de AP omgaat met de persoonsgegevens van degene die een datalek meldt.

Guidelines meldplicht datalekken

Of een organisatie een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden.

Overzichten meldingen datalekken

De AP publiceert in 2018 elk kwartaal een totaaloverzicht van alle gemelde datalekken. Daarnaast gaat de AP in een aantal sectorspecifieke overzichten dieper in op de datalekken uit bepaalde sectoren. Zie: Overzichten meldingen datalekken.

Nieuws

Alle nieuwsberichten over het onderwerp 'Meldplicht datalekken'

Alle antwoorden op mijn vragenAlgemene vragen van organisaties over de meldplicht datalekken

  • Wat is een datalek precies?

    Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

    De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.

    Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

    Categorieën datalekken

    Er zijn drie categorieën datalekken te onderscheiden:

    • Inbreuk op de vertrouwelijkheid
      Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
    • Inbreuk op de integriteit
      Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
    • Inbreuk op de beschikbaarheid
      Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

    Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.

    Voorbeelden datalekken

    Voorbeelden van datalekken zijn:

    • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
    • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
    • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
  • Wat betekent de meldplicht datalekken voor mij als organisatie?

    Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens (AP).

    Of u een datalek wel of niet bij de AP moet melden, hangt af van de ernst van het datalek. In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek.

    Overtreding meldplicht datalekken

    Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete geven. U kunt ook een boete krijgen als u ten onrechte een datalek met een hoog risico verzwijgt voor de betrokkenen.

    Meldplicht datalekken Telecommunicatiewet

    Biedt u openbare elektronische communicatiediensten aan? Dan doet u uw datalekmelding ook bij de AP. U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.

  • Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

    Nee. U hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.

    Guidelines meldplicht datalekken

    De Guidelines meldplicht datalekken, en dan met name hoofdstuk IV, kunnen u helpen te bepalen of u een datalek moet melden aan de Autoriteit Persoonsgegevens.

  • Moet ik alle datalekken melden aan betrokkenen?

    Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.

    Hiervoor moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

    Guidelines meldplicht datalekken

    Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht datalekken.

    Melden datalek niet nodig

    U mag de melding aan de betrokkenen eventueel achterwege laten als u aan een van de volgende voorwaarden voldoet:

    • U heeft, voordat het datalek plaatsvond, passende maatregelen getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk zijn voor onbevoegden. Bijvoorbeeld doordat de betreffende gegevens goed zijn versleuteld of vervangen door een hashwaarde. Let op: deze uitzondering geldt alleen maar als: (1) de gegevens nog volledig intact zijn; (2) u nog steeds de volledige controle over de gegevens heeft; (3) - de sleutel die voor de encryptie of voor de hashing is gebruikt bij de inbreuk geen gevaar heeft gelopen en voor onbevoegden met de beschikbare technologische middelen niet te vinden is.
    • U heeft, onmiddellijk nadat het datalek plaatsvond, maatregelen getroffen waardoor het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen. Bijvoorbeeld wanneer de gelekte persoonsgegevens onmiddellijk na het datalek op afstand zijn gewist, nog voordat de onbevoegde ontvanger iets met de gegevens kon doen.

    Daarnaast noemt de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) de volgende gevallen waarin u een melding aan betrokkenen achterwege mag laten:

    • Wanneer dat noodzakelijk en evenredig is ter waarborging van: a. de nationale veiligheid; b. landsverdediging; c. de openbare veiligheid; d. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.
    • Is uw organisatie een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft)? Dan is de meldplicht aan de betrokkenen op u niet van toepassing. Wel geldt de meldplicht aan de Autoriteit Persoonsgegevens onverkort voor financiële ondernemingen.

    Informeren door openbare mededeling

    Zou het individueel informeren van de betrokkenen een onevenredige inspanning vergen? Bijvoorbeeld omdat u de contactgegevens van de betrokkenen bent verloren door het datalek? Dan mag u de betrokkenen ook informeren met een openbare mededeling of een soortgelijke maatregel, waarbij betrokkenen even doeltreffend worden geïnformeerd.

  • Moet ik een datalek melden aan de betrokkenen als zij er waarschijnlijk geen last van hebben?

    Kunt u aannemelijk maken het datalek waarschijnlijk geen hoog risico oplevert voor de rechten en vrijheden van de betrokkenen? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens (AP).

    U moet een datalek melden bij de AP als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.

    Moet u het datalek bij de AP melden? Maar is een hoog risico voor de voor de rechten en vrijheden van de betrokkenen onwaarschijnlijk? Dan geeft u in uw melding bij de AP aan dat u het datalek niet heeft gemeld aan de betrokkenen.

    Als onderbouwing hiervoor geeft u aan welke redenen u heeft om de betrokkenen niet te informeren.

  • Wat is er veranderd aan de meldplicht onder de AVG vergeleken met de Wbp?

    De meldplicht datalekken is onder de Algemene verordening gegevensbescherming (AVG) voor het grootste gedeelte hetzelfde als eerder onder de Wet bescherming persoonsgegevens (Wbp). De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.

    U moet onder de AVG alle datalekken documenteren, inclusief de feiten over het datalek, de gevolgen daarvan en de genomen corrigerende maatregelen. Met deze documentatie moet de Autoriteit Persoonsgegevens (AP) kunnen controleren of u aan de meldplicht heeft voldaan.

    Dit gaat verder dan de vroegere protocolplicht uit de Wbp, waarbij u alleen de gemelde datalekken hoefde te documenteren.

    Andere verschillen meldplicht datalekken

    Andere nuanceverschillen zijn onder meer:

    • Onder de AVG kan er ook sprake kan zijn van een datalek als een verwerkingsverantwoordelijke tijdelijk of permanent de controle verliest over, of geen toegang meer heeft tot, de persoonsgegevens die hij verwerkt.
    • Onder de AVG mag er onder bepaalde omstandigheden worden afgezien van het melden van het datalek aan de toezichthouder en aan de betrokkenen als de persoonsgegevens waarover het gaat goed zijn versleuteld of vervangen door een hashwaarde.
      Deze uitzondering geldt alleen als: (1) de gegevens nog volledig intact zijn; (2) de verwerkingsverantwoordelijke nog steeds de volledige controle over de gegevens heeft; (3) de sleutel die voor de encryptie of voor de hashing is gebruikt bij de inbreuk geen gevaar heeft gelopen en voor onbevoegden met de beschikbare technologische middelen niet te vinden is.
    • Bij de AVG gaat het om Europese regelgeving. Het kan daarbij voorkomen dat datalekken in grensoverschrijdende verwerkingen bij de AP worden gemeld, omdat de AP voor de betreffende verwerking de leidende toezichthouder is. In die gevallen moet de AP de andere betrokken privacytoezichthouders informeren.

    Europese guidelines meldplicht datalekken

    De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden.

  • Wat kan ik doen om het risico op een datalek door malware te verkleinen?

    Belangrijke maatregelen waarmee u het risico op een datalek door malware (bijvoorbeeld door ransomware) verkleint, zijn onder meer:

    • op tijd software-updates installeren;
    • geen verouderde (netwerk)protocollen gebruiken;
    • computernetwerken en -systemen segmenteren (scheiden).

    Praktische hulp bij technische maatregelen

    Meer praktische informatie over technische maatregelen vindt u in deze documenten:

    Melden bij de AP

    Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens getroffen zijn? Dan hoeft u alleen niet te melden als het niet waarschijnlijk is dat de besmetting leidt tot een risico voor de rechten en vrijheden van betrokkenen.

    Bij dit onderzoek moet u onder andere kijken naar de kans dat de malware zich verspreidt via uw computernetwerk. Blijkt uit uw onderzoek dat er waarschijnlijk een risico is voor de rechten en vrijheden van betrokkenen? Dan moet u de besmetting met malware als datalek melden bij de AP.

    Melden aan betrokkenen

    Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens getroffen zijn? Dan moet u onderzoeken of de inbreuk waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen.

    U kunt daarvoor technisch onderzoek (laten) uitvoeren, zoals analyse van logbestanden. Blijkt uit dit onderzoek dat het niet waarschijnlijk is dat de inbreuk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen? Dan hoeft u hen niet te informeren.

  • Waar kan ik terecht met vragen over de meldplicht datalekken?

    Op deze website vindt u informatie en antwoorden op vragen over de meldplicht datalekken. Heeft u hier geen antwoord op uw vraag gevonden? Dan kunt u contact opnemen met de Autoriteit Persoonsgegevens. Het telefoonnummer is 088-1805255 (voor dit nummer betaalt u uw gebruikelijke telefoonkosten).

Alle antwoorden op mijn vragenVragen van organisaties over een datalek melden

  • Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?

    U kunt een datalek melden via het meldloket datalekken.

  • Hoe laat ik mijn melding bij de Autoriteit Persoonsgegevens zo goed mogelijk verlopen?

    Om uw melding van een datalek aan de Autoriteit Persoonsgegevens (AP) via het meldloket datalekken zo goed mogelijk te laten verlopen, zijn er de volgende tips:

    Moderne browser gebruiken

    Gebruik bij het invullen van het meldformulier een moderne browserversie.

    Ontvangstbevestiging printen

    Is het versturen van de melding goed verlopen, dan krijgt u op uw scherm meteen een ontvangstbevestiging te zien. In de ontvangstbevestiging staan de gegevens die u heeft ingevoerd met daarbij een meldingsnummer.

    U kunt de melding niet online raadplegen. Maak daarom meteen een print voor uw eigen administratie voordat u het browservenster afsluit.

    Meldingsnummer gebruiken

    De melding is bekend bij de AP onder het meldingsnummer dat in de ontvangstbevestiging staat.

    U heeft het meldingsnummer nodig om de melding te kunnen aanpassen of intrekken. Let op: vul daarbij het meldingsnummer exact in zoals het op de ontvangstbevestiging staat. Neem alle tekens over en zet geen spaties tussen de tekens.

    Vermeld het meldingsnummer bij eventuele correspondentie over uw melding met de AP.

  • Wat wordt bedoeld met 'gegevensrecords' in het meldformulier?

    In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.

    Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term 'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een regel in een Excel-bestand. Eén regel in de lijst is dan één gegevensrecord.

    Voorbeelden van gegevensrecords

    • Aankoop bij een webwinkel
      Een aankoop bij een webwinkel is één gegevensrecord. Dit gegevensrecord kan onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de aankoop.
      Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben.
       
    • Kopie paspoort
      Een kopie van een paspoort is één gegevensrecord. Daarop staan naast naam en geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
       
    • Gebruik van logfiles
      Gebruikt een ziekenhuis logfiles om vast te leggen wie wanneer inzage heeft gehad in een medisch dossier? Dan is elke log één gegevensrecord.
      En gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product heeft toegevoegd aan een winkelmandje? Dan is elke logregel één gegevensrecord.
  • Wat moet ik doen als ik op versturen heb geklikt maar geen ontvangstbevestiging en meldingsnummer zie?

    Het kan zijn dat u niet alle gegevens (goed) heeft ingevuld en dat daardoor het versturen niet is gelukt. Het kan ook gebeuren dat uw melding door een technisch probleem niet is verwerkt.

    Niet goed ingevuld

    Heeft u nog niet alle gegevens correct ingevuld, dan lukt het niet om de melding te versturen.

    U lost dit op door de ontbrekende gegevens aan te vullen en de onjuiste gegevens te corrigeren. In het meldformulier ziet u foutmeldingen bij de gegevens waar het om gaat.

    Technisch probleem

    Ziet u na het versturen van het formulier een foutmelding of een leeg formulier? Dan is uw melding door een technisch probleem niet verwerkt. U moet dan de melding opnieuw invullen en versturen.

  • Kan ik mijn melding van een datalek aanvullen of intrekken?

    Ja, u kunt de melding die u gedaan heeft aanvullen of intrekken. Dit doet u via het meldloket datalekken. U heeft daarbij uw meldingsnummer nodig.

    Let op: vul het meldingsnummer exact in zoals het op de ontvangstbevestiging van uw melding staat. Neem alle tekens over en zet geen spaties tussen de tekens.

  • Waarom moet ik bij het aanvullen of intrekken van een datalekmelding de gegevens opnieuw invullen?

    Uw melding van een datalek wordt verstuurd naar een beveiligde, afgesloten omgeving. U kunt de gegevens daarna niet meer inzien of aanpassen via het meldloket. Dit is zo ingericht om ongeoorloofde toegang tot datalekmeldingen te voorkomen.

    Dit betekent dat u bij het aanvullen of intrekken van een datalekmelding de verplichte gegevens in het formulier nogmaals moet invullen.

    Bij velden met vrije tekst, zoals de samenvatting van het incident, kunt u verwijzen naar de oorspronkelijke melding. U hoeft dan niet de volledige tekst opnieuw in te vullen.

  • Kan ik een datalek melden bij de FG van mijn organisatie?

    Nee, u kunt een datalek niet melden bij de functionaris voor de gegevensbescherming (FG). U moet het datalek melden bij de Autoriteit Persoonsgegevens.

    Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan u bijvoorbeeld adviseren bij het informeren van de betrokkenen.

  • Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?

    De Autoriteit Persoonsgegevens (AP) slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar. 

    Contact over melding datalek

    De AP kan contact met u opnemen als er inhoudelijke vragen zijn over uw melding.

    Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te doen.

    Onderzoek AP

    Uw datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving.

  • Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?

    Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens (AP) inhoudelijke vragen heeft over uw melding. Dan neemt de AP binnen 1-2 twee weken na ontvangst van uw melding contact met u op.

    Informeren betrokkenen

    Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te doen.

    De wet zegt dat u de betrokkenen direct moet informeren. De AP neemt in dit geval daarom zo snel mogelijk contact met u op.

  • Maakt de Autoriteit Persoonsgegevens gemelde datalekken openbaar?

    Nee, dat doet de Autoriteit Persoonsgegevens (AP) niet. Het is namelijk belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens vertrouwelijk blijven.

    • De AP kan wel op basis van de meldingen in jaarverslagen of andere publicaties aandacht besteden aan datalekken.
    • Verder kan een datalekmelding relevant zijn voor een onderzoek dat de AP doet. Het kan dan nodig zijn om informatie uit de melding op te nemen in het onderzoeksrapport.
    • Tot slot kan de AP, als dat nodig is, informatie uit de ontvangen datalekmeldingen delen met andere toezichthouders waarmee het een samenwerkingsovereenkomst heeft.
  • Wie in een samenwerkingsverband moet een datalek melden bij de Autoriteit Persoonsgegevens?

    De algemene regel is dat de verwerkingsverantwoordelijke een datalek moet melden. Werkt u samen in een samenwerkingsverband? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen.

    Afspraken meldplicht datalekken

    Bij het maken van afspraken over het melden van datalekken kunt u aansluiten bij de bestaande afspraken die u, los van de meldplicht datalekken, heeft gemaakt over de naleving van de Algemene verordening gegevensbescherming (AVG).

    Welke samenwerkingspartner zorgt er bijvoorbeeld voor dat betrokkenen hun rechten kunnen uitoefenen, zoals het recht op inzage en rectificatie?

    Ook is het van belang dat u bekijkt hoe de gezamenlijke gegevenshuishouding eruitziet. Waar kunnen eventueel datalekken optreden, welke samenwerkingspartners moeten dat weten en hoe zorgt u dat ze tijdig op de hoogte worden gesteld? Maak ook hier afspraken over.

  • Moet de verwerkingsverantwoordelijke of de verwerker een datalek melden?

    Maakt u als verwerkingsverantwoordelijke gebruik van een dienst van een andere organisatie? En is die organisatie een verwerker? Dan moet u de melding doen als er een datalek is. Tenzij u expliciet afspraken maakt met de verwerker - bijvoorbeeld in de verwerkersovereenkomst - dat die namens u datalekken meldt aan de Autoriteit Persoonsgegevens (AP).

    Let op: onder de Algemene verordening gegevensbescherming (AVG) is de verwerker verplicht om de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra de verwerker weet heeft van een datalek.

    Bent u als verwerkingsverantwoordelijke verplicht om het datalek aan de betrokkenen te melden? Dan kunt u niet afspreken dat de verwerker dit namens u doet. U moet in die gevallen altijd zelf de betrokkenen informeren.

  • Wat kan ik bij een datalek adviseren over het voorkomen van identiteitsfraude?

    Er zijn datalekken die kunnen leiden tot identiteitsfraude. Informeert u de betrokkenen over zo’n datalek, dan geeft u aan dat zij alert moeten zijn op identiteitsfraude. U kunt de betrokkenen daarbij verwijzen naar:

    informatie van de politie over identiteitsfraude;
    informatie van de Rijksoverheid over identiteitsfraude.

    Deze pagina’s geven informatie over hoe betrokkenen identiteitsfraude kunnen herkennen en wat zij kunnen doen.

Alle antwoorden op mijn vragenVragen van slachtoffers van datalekken

  • Ik vermoed dat er een datalek is geweest, kan ik dit melden bij de AP?

    Heeft u het vermoeden dat er een datalek is geweest bij een bepaalde organisatie? Dan kunt u dit aan de Autoriteit Persoonsgegevens (AP) doorgeven. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.

    U meldt het datalek vervolgens bij de AP door het tipformulier in te vullen. Geef daarbij duidelijk aan:

    • om welke gegevens het gaat;
    • bij welke organisatie het datalek heeft plaatsgevonden;
    • wanneer het datalek volgens u is geweest;
    • wanneer u het datalek heeft doorgegeven aan de organisatie.

    Vragen aan AP

    Let op: u kunt via het tipformulier géén vragen stellen aan de AP. Heeft u een vraag, dan kunt u bellen met de AP tijdens het telefonisch spreekuur voor privacyvragen.

  • Wat doet de AP met mijn tip over een datalek?

    Geeft u de Autoriteit Persoonsgegevens (AP) een tip over een mogelijk datalek? Dan beoordeelt de AP of het om een datalek gaat dat de organisatie die het datalek heeft (gehad) moet melden bij de AP.

    Zo ja, dan controleert de AP of de organisatie het datalek al heeft gemeld. Zo nee, dan kan de AP contact opnemen met de organisatie.

    Het is daarom belangrijk dat u zo concreet mogelijke informatie geeft als u de AP een tip geeft over een datalek.

    Onderzoek

    Uw tip kan, eventueel in combinatie met tips van andere personen, ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving.

    Geen informatie over melding

    Let op: de AP kan u niet zeggen of een datalek bij de AP gemeld is. Deze informatie is namelijk niet openbaar.

    Datalek melden

    Niet ieder datalek hoeft gemeld te worden bij de AP. Dit hoeft alleen als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.

  • Kan ik slachtoffer worden van identiteitsfraude als mijn gegevens zijn gelekt?

    Na een datalek kunt u risico lopen op identiteitsfraude, maar dit hoeft niet altijd. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam spullen te kopen zonder te betalen.

    Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel.

    Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wél een risico als een kopie van uw identiteitsbewijs is gelekt.

    Voorkomen of schade herstellen

    In de brochure Geef oplichters geen kans: Een veilig ID van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt u informatie over identiteitsfraude. En over wat u kunt doen om identiteitsfraude te voorkomen en eventuele schade te herstellen.

    Slachtoffer van identiteitsfraude

    Bent u slachtoffer geworden van identiteitsfraude? Meld dit dan bij  het Centraal Meldpunt Identiteitsfraude en -fouten (CMI).

    Dit doet u door het meldingsformulier identiteitsfraude in te vullen. Het CMI helpt u om de gevolgen van identiteitsfraude op te lossen.

    Doe daarnaast aangifte bij de politie van identiteitsfraude.

    Meer informatie identiteitsfraude

  • Heb ik recht op schadevergoeding als mijn gegevens zijn gelekt?

    Zijn uw gegevens gelekt door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding, maar dit is zeker niet altijd zo.

    Voorwaarden schadevergoeding

    U heeft volgens artikel 82 van de Algemene verordening gegevensbescherming (AVG) recht op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt en dit deze organisatie kan worden aangerekend.

    Een organisatie is niet aansprakelijk als de organisatie bewijst op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit.

    Dat er een datalek heeft plaatsgevonden, betekent niet automatisch dat de organisatie waar het lek is geweest in strijd met de AVG heeft gehandeld. Niet ieder datalek is verwijtbaar.

    Soorten schade

    Zowel financiële schade als immateriële schade komen voor vergoeding in aanmerking. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad.

    Schadevergoeding vragen

    Een civiele rechter beoordeelt een vordering om schadevergoeding. De Autoriteit Persoonsgegevens (AP) speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over het bepalen van de schade en over de hoogte van de schadevergoeding.

Alle antwoorden op mijn vragenVragen van organisaties over datalekken door ransomware

  • Wat is ransomware?

    Ransomware is malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin.

    Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken.

    Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.

  • Is er na besmetting met ransomware sprake van een datalek?

    Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

    De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

    Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

  • Moet ik een datalek als gevolg van ransomware melden bij de Autoriteit Persoonsgegevens?

    Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.

    U kunt er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

    Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

  • Moet ik een datalek als gevolg van ransomware melden aan de betrokkenen?

    U moet de betrokkenen informeren als het datalek door ransomware waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen.

  • Moet ik het datalek melden aan de betrokkenen als de gegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden?

    Heeft u door encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? Dan kunt u de melding aan de betrokkenen eventueel achterwege laten.

    Dit is een strenge norm, die u van geval tot geval moet toepassen op basis van de actuele stand van de techniek. Bovendien geldt deze uitzondering alleen maar als:

    • de gegevens nog volledig intact zijn;
    • u nog steeds de volledige controle over de gegevens heeft;
    • de sleutel die voor de encryptie of voor de hashing is gebruikt bij de inbreuk geen gevaar heeft gelopen en voor onbevoegden met de beschikbare technologische middelen niet te vinden is.

    Wel melden

    Twijfelt u over de adequaatheid van de technische beschermingsmaatregelen die u heeft getroffen? Dan moet u het datalek melden aan de betrokkenen.

    Zijn de gegevens door de ransomware niet meer toegankelijk voor u en voor de betrokkenen? En is er geen back-up voorhanden? Dan moet u dit mogelijk wél aan de betrokkenen melden. In dat geval is namelijk sprake van verlies van persoonsgegevens. Ook als u de gegevens had geëncrypt.

    Criteria melden datalek aan betrokkenen

    U moet de betrokkenen informeren als het datalek door ransomware waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen.

    Hiervoor moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

    Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht datalekken.

  • Ben ik verplicht een onderzoek te (laten) doen na een aanval met ransomware?

    Nee. U bent vanuit de meldplicht datalekken niet verplicht een (digitaal forensisch) onderzoek te (laten) doen. Het is aan u om te besluiten of u de omvang van de inbreuk wilt (laten) onderzoeken of niet.

    Zonder onderzoek zal de onzekerheid over de omvang van de besmetting echter blijven bestaan. Dit betekent dat u niet redelijkerwijs kunt uitsluiten dat persoonsgegevens door een derde zijn ingezien, gekopieerd, gestolen of veranderd.

  • Wat kan ik doen nadat er een aanval met ransomware is vastgesteld?

    U kunt de omvang van de inbreuk achteraf (laten) onderzoeken. Een van de meest gangbare manieren hiervoor is digitaal forensisch onderzoek.

    Andere manieren zijn ook mogelijk. U kunt bijvoorbeeld functionaliteiten van de malware (laten) analyseren als achterhaald kan worden met welke malware de inbreuk is gepleegd.

    Logging en controle op de logging kunnen ook helpen bij het bepalen van de omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat alle manieren worden gelogd waarop gegevens benaderd kunnen worden.

  • Wat kan ik doen om het risico op een datalek door malware te verkleinen?

    Belangrijke maatregelen waarmee u het risico op een datalek door malware (bijvoorbeeld door ransomware) verkleint, zijn onder meer:

    • op tijd software-updates installeren;
    • geen verouderde (netwerk)protocollen gebruiken;
    • computernetwerken en -systemen segmenteren (scheiden).

    Praktische hulp bij technische maatregelen

    Meer praktische informatie over technische maatregelen vindt u in deze documenten:

    Melden bij de AP

    Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens getroffen zijn? Dan hoeft u alleen niet te melden als het niet waarschijnlijk is dat de besmetting leidt tot een risico voor de rechten en vrijheden van betrokkenen.

    Bij dit onderzoek moet u onder andere kijken naar de kans dat de malware zich verspreidt via uw computernetwerk. Blijkt uit uw onderzoek dat er waarschijnlijk een risico is voor de rechten en vrijheden van betrokkenen? Dan moet u de besmetting met malware als datalek melden bij de AP.

    Melden aan betrokkenen

    Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens getroffen zijn? Dan moet u onderzoeken of de inbreuk waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen.

    U kunt daarvoor technisch onderzoek (laten) uitvoeren, zoals analyse van logbestanden. Blijkt uit dit onderzoek dat het niet waarschijnlijk is dat de inbreuk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen? Dan hoeft u hen niet te informeren.

  • Wat kan ik doen om de omvang van een eventuele (toekomstige) inbreuk te beperken?

    U kunt de omvang van een inbreuk beperken door gegevens offline te bewaren en door netwerksegmentatie toe te passen.

    Bij netwerksegmentatie (het scheiden van interne netwerken) kan een inbreuk beperkt worden gehouden tot het direct getroffen netwerk.

    Het is van belang om de toegang tot gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.

  • Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?

    Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

    Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.

    Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.

  • Kunnen bestanden zijn versleuteld zonder eerst geopend te zijn?

    Nee. Voordat bestanden kunnen worden versleuteld, moeten ze eerst worden geopend. Pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.

    Als u de bestanden versleuteld aantreft, is het dus zeker dat een derde toegang heeft gehad tot deze bestanden en deze heeft geopend. En dat betekent ook dat deze derde de gegevens in die bestanden heeft kunnen inzien en kopiëren.

  • Is de inbreuk beëindigd als ik de bestanden heb teruggezet uit de backups en de ransomware is verwijderd?

    Nee. Als u niet heeft onderzocht wat de omvang van de inbreuk is geweest, kunt u niet aannemen dat de inbreuk beperkt is gebleven tot het versleutelen van de betreffende bestanden.

    Bij inbreuken waarbij ransomware is aangetroffen, is de controle over het systeem in ieder geval gedeeltelijk verloren gegaan.

    U moet er rekening mee houden dat een derde toegang heeft gehad tot het hele systeem en alle gekoppelde bestanden en systemen.

    Dat betekent dat u ervan uit moet gaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. Daarmee kan het datalek groter zijn dan het op het eerste gezicht lijkt.

Hulpmiddelen voor professionals

Publicaties

Al het onderzoek over het onderwerp 'Meldplicht datalekken'Alle wetgevingsadviezen over het onderwerp 'Meldplicht datalekken'