Meldplicht datalekken
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Meldplicht datalekken onder de AVG
De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Europese privacywet die sinds 25 mei 2018 geldt, de Algemene verordening gegevensbescherming (AVG), blijft de meldplicht datalekken bestaan.
De AVG stelt wel strengere eisen aan de registratie van de datalekken in een organisatie. Organisaties moeten alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of zij aan de meldplicht datalekken hebben voldaan.
Datalek melden
Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldloket datalekken. Heeft u een vraag over het melden van datalekken of over datalekken in het algemeen? En kunt u de informatie niet op onze website vinden? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten.
In het privacystatement formulier meldplicht datalekken staat hoe de AP omgaat met de persoonsgegevens van degene die een datalek meldt.
Guidelines meldplicht datalekken
Of een organisatie een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.
De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden.
Overzichten meldingen datalekken
De AP publiceert in 2018 elk kwartaal een totaaloverzicht van alle gemelde datalekken. Daarnaast gaat de AP in een aantal sectorspecifieke overzichten dieper in op de datalekken uit bepaalde sectoren. Zie: Overzichten meldingen datalekken.
Bekijk binnen het onderwerp Meldplicht datalekken
Nieuws
-
Persbericht / 29 januari 2019AP ontvangt bijna 21.000 datalekken in 2018
-
Nieuwsbericht / 27 november 2018AP legt Uber boete op voor te laat melden datalek
-
Nieuwsbericht / 29 maart 201810.000 datalekken gemeld in 2017
Alle antwoorden op mijn vragenAlgemene vragen van organisaties over de meldplicht datalekken
-
Moet ik een datalek melden aan de betrokkenen als zij er waarschijnlijk geen last van hebben?
Kunt u aannemelijk maken het datalek waarschijnlijk geen hoog risico oplevert voor de rechten en vrijheden van de betrokkenen? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens (AP).
U moet een datalek melden bij de AP als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.
Moet u het datalek bij de AP melden? Maar is een hoog risico voor de voor de rechten en vrijheden van de betrokkenen onwaarschijnlijk? Dan geeft u in uw melding bij de AP aan dat u het datalek niet heeft gemeld aan de betrokkenen.
Als onderbouwing hiervoor geeft u aan welke redenen u heeft om de betrokkenen niet te informeren.
Alle antwoorden op mijn vragenVragen van organisaties over een datalek melden
-
Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?
U kunt een datalek melden via het meldloket datalekken.
-
Hoe laat ik mijn melding bij de Autoriteit Persoonsgegevens zo goed mogelijk verlopen?
Om uw melding van een datalek aan de Autoriteit Persoonsgegevens (AP) via het meldloket datalekken zo goed mogelijk te laten verlopen, zijn er de volgende tips:
Moderne browser gebruiken
Gebruik bij het invullen van het meldformulier een moderne browserversie.
Ontvangstbevestiging printen
Is het versturen van de melding goed verlopen, dan krijgt u op uw scherm meteen een ontvangstbevestiging te zien. In de ontvangstbevestiging staan de gegevens die u heeft ingevoerd met daarbij een meldingsnummer.
U kunt de melding niet online raadplegen. Maak daarom meteen een print voor uw eigen administratie voordat u het browservenster afsluit.
Meldingsnummer gebruiken
De melding is bekend bij de AP onder het meldingsnummer dat in de ontvangstbevestiging staat.
U heeft het meldingsnummer nodig om de melding te kunnen aanpassen of intrekken. Let op: vul daarbij het meldingsnummer exact in zoals het op de ontvangstbevestiging staat. Neem alle tekens over en zet geen spaties tussen de tekens.
Vermeld het meldingsnummer bij eventuele correspondentie over uw melding met de AP.
-
Wat wordt bedoeld met 'gegevensrecords' in het meldformulier?
In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.
Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term 'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een regel in een Excel-bestand. Eén regel in de lijst is dan één gegevensrecord.
Voorbeelden van gegevensrecords
- Aankoop bij een webwinkel
Een aankoop bij een webwinkel is één gegevensrecord. Dit gegevensrecord kan onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de aankoop.
Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben.
- Kopie paspoort
Een kopie van een paspoort is één gegevensrecord. Daarop staan naast naam en geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
- Gebruik van logfiles
Gebruikt een ziekenhuis logfiles om vast te leggen wie wanneer inzage heeft gehad in een medisch dossier? Dan is elke log één gegevensrecord.
En gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product heeft toegevoegd aan een winkelmandje? Dan is elke logregel één gegevensrecord.
- Aankoop bij een webwinkel
-
Wat moet ik doen als ik op versturen heb geklikt maar geen ontvangstbevestiging en meldingsnummer zie?
Het kan zijn dat u niet alle gegevens (goed) heeft ingevuld en dat daardoor het versturen niet is gelukt. Het kan ook gebeuren dat uw melding door een technisch probleem niet is verwerkt.
Niet goed ingevuld
Heeft u nog niet alle gegevens correct ingevuld, dan lukt het niet om de melding te versturen.
U lost dit op door de ontbrekende gegevens aan te vullen en de onjuiste gegevens te corrigeren. In het meldformulier ziet u foutmeldingen bij de gegevens waar het om gaat.
Technisch probleem
Ziet u na het versturen van het formulier een foutmelding of een leeg formulier? Dan is uw melding door een technisch probleem niet verwerkt. U moet dan de melding opnieuw invullen en versturen.
-
Kan ik mijn melding van een datalek aanvullen of intrekken?
Ja, u kunt de melding die u gedaan heeft aanvullen of intrekken. Dit doet u via het meldloket datalekken. U heeft daarbij uw meldingsnummer nodig.
Let op: vul het meldingsnummer exact in zoals het op de ontvangstbevestiging van uw melding staat. Neem alle tekens over en zet geen spaties tussen de tekens.
-
Waarom moet ik bij het aanvullen of intrekken van een datalekmelding de gegevens opnieuw invullen?
Uw melding van een datalek wordt verstuurd naar een beveiligde, afgesloten omgeving. U kunt de gegevens daarna niet meer inzien of aanpassen via het meldloket. Dit is zo ingericht om ongeoorloofde toegang tot datalekmeldingen te voorkomen.
Dit betekent dat u bij het aanvullen of intrekken van een datalekmelding de verplichte gegevens in het formulier nogmaals moet invullen.
Bij velden met vrije tekst, zoals de samenvatting van het incident, kunt u verwijzen naar de oorspronkelijke melding. U hoeft dan niet de volledige tekst opnieuw in te vullen.
-
Kan ik een datalek melden bij de FG van mijn organisatie?
Nee, u kunt een datalek niet melden bij de functionaris voor de gegevensbescherming (FG). U moet het datalek melden bij de Autoriteit Persoonsgegevens.
Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan u bijvoorbeeld adviseren bij het informeren van de betrokkenen.
-
Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?
De Autoriteit Persoonsgegevens (AP) slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.
Contact over melding datalek
De AP kan contact met u opnemen als er inhoudelijke vragen zijn over uw melding.
Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te doen.
Onderzoek AP
Uw datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving.
-
Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?
Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens (AP) inhoudelijke vragen heeft over uw melding. Dan neemt de AP binnen 1-2 twee weken na ontvangst van uw melding contact met u op.
Informeren betrokkenen
Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te doen.
De wet zegt dat u de betrokkenen direct moet informeren. De AP neemt in dit geval daarom zo snel mogelijk contact met u op.
-
Maakt de Autoriteit Persoonsgegevens gemelde datalekken openbaar?
Nee, dat doet de Autoriteit Persoonsgegevens (AP) niet. Het is namelijk belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens vertrouwelijk blijven.
- De AP kan wel op basis van de meldingen in jaarverslagen of andere publicaties aandacht besteden aan datalekken.
- Verder kan een datalekmelding relevant zijn voor een onderzoek dat de AP doet. Het kan dan nodig zijn om informatie uit de melding op te nemen in het onderzoeksrapport.
- Tot slot kan de AP, als dat nodig is, informatie uit de ontvangen datalekmeldingen delen met andere toezichthouders waarmee het een samenwerkingsovereenkomst heeft.
-
Moet de verwerkingsverantwoordelijke of de verwerker een datalek melden?
Maakt u als verwerkingsverantwoordelijke gebruik van een dienst van een andere organisatie? En is die organisatie een verwerker? Dan moet u de melding doen als er een datalek is. Tenzij u expliciet afspraken maakt met de verwerker - bijvoorbeeld in de verwerkersovereenkomst - dat die namens u datalekken meldt aan de Autoriteit Persoonsgegevens (AP).
Let op: onder de Algemene verordening gegevensbescherming (AVG) is de verwerker verplicht om de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra de verwerker weet heeft van een datalek.
Bent u als verwerkingsverantwoordelijke verplicht om het datalek aan de betrokkenen te melden? Dan kunt u niet afspreken dat de verwerker dit namens u doet. U moet in die gevallen altijd zelf de betrokkenen informeren.
-
Wat kan ik bij een datalek adviseren over het voorkomen van identiteitsfraude?
Er zijn datalekken die kunnen leiden tot identiteitsfraude. Informeert u de betrokkenen over zo’n datalek, dan geeft u aan dat zij alert moeten zijn op identiteitsfraude. U kunt de betrokkenen daarbij verwijzen naar:
• informatie van de politie over identiteitsfraude;
• informatie van de Rijksoverheid over identiteitsfraude.Deze pagina’s geven informatie over hoe betrokkenen identiteitsfraude kunnen herkennen en wat zij kunnen doen.
Alle antwoorden op mijn vragenVragen van slachtoffers van datalekken
-
Ik vermoed dat er een datalek is geweest, kan ik dit melden bij de AP?
Heeft u het vermoeden dat er een datalek is geweest bij een bepaalde organisatie? Dan kunt u dit aan de Autoriteit Persoonsgegevens (AP) doorgeven. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft aan de organisatie zelf.
U meldt het datalek vervolgens bij de AP door het tipformulier in te vullen. Geef daarbij duidelijk aan:
- om welke gegevens het gaat;
- bij welke organisatie het datalek heeft plaatsgevonden;
- wanneer het datalek volgens u is geweest;
- wanneer u het datalek heeft doorgegeven aan de organisatie.
Vragen aan AP
Let op: u kunt via het tipformulier géén vragen stellen aan de AP. Heeft u een vraag, dan kunt u bellen met de AP tijdens het telefonisch spreekuur voor privacyvragen.
-
Kan ik slachtoffer worden van identiteitsfraude als mijn gegevens zijn gelekt?
Na een datalek kunt u risico lopen op identiteitsfraude, maar dit hoeft niet altijd. Bij identiteitsfraude maken criminelen misbruik van uw gegevens. Bijvoorbeeld door op uw naam spullen te kopen zonder te betalen.
Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens (bijvoorbeeld alleen een BSN) kan een fraudeur niet veel.
Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wél een risico als een kopie van uw identiteitsbewijs is gelekt.
Voorkomen of schade herstellen
In de brochure Geef oplichters geen kans: Een veilig ID van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties vindt u informatie over identiteitsfraude. En over wat u kunt doen om identiteitsfraude te voorkomen en eventuele schade te herstellen.
Slachtoffer van identiteitsfraude
Bent u slachtoffer geworden van identiteitsfraude? Meld dit dan bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI).
Dit doet u door het meldingsformulier identiteitsfraude in te vullen. Het CMI helpt u om de gevolgen van identiteitsfraude op te lossen.
Doe daarnaast aangifte bij de politie van identiteitsfraude.
Meer informatie identiteitsfraude
-
Heb ik recht op schadevergoeding als mijn gegevens zijn gelekt?
Zijn uw gegevens gelekt door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding, maar dit is zeker niet altijd zo.
Voorwaarden schadevergoeding
U heeft volgens artikel 82 van de Algemene verordening gegevensbescherming (AVG) recht op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt en dit deze organisatie kan worden aangerekend.
Een organisatie is niet aansprakelijk als de organisatie bewijst op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit.
Dat er een datalek heeft plaatsgevonden, betekent niet automatisch dat de organisatie waar het lek is geweest in strijd met de AVG heeft gehandeld. Niet ieder datalek is verwijtbaar.
Soorten schade
Zowel financiële schade als immateriële schade komen voor vergoeding in aanmerking. Wat immateriële schade precies is, staat niet concreet in de wet. U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast of als uw goede naam is geschaad.
Schadevergoeding vragen
Een civiele rechter beoordeelt een vordering om schadevergoeding. De Autoriteit Persoonsgegevens (AP) speelt hierin geen rol. De AP kan u ook geen informatie of advies geven over het bepalen van de schade en over de hoogte van de schadevergoeding.
Alle antwoorden op mijn vragenVragen van organisaties over datalekken door ransomware
-
Wat is ransomware?
Ransomware is malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin.
Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken.
Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.
-
Is er na besmetting met ransomware sprake van een datalek?
Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.
De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
-
Moet ik een datalek als gevolg van ransomware melden bij de Autoriteit Persoonsgegevens?
Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.
U kunt er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
-
Wat kan ik doen nadat er een aanval met ransomware is vastgesteld?
U kunt de omvang van de inbreuk achteraf (laten) onderzoeken. Een van de meest gangbare manieren hiervoor is digitaal forensisch onderzoek.
Andere manieren zijn ook mogelijk. U kunt bijvoorbeeld functionaliteiten van de malware (laten) analyseren als achterhaald kan worden met welke malware de inbreuk is gepleegd.
Logging en controle op de logging kunnen ook helpen bij het bepalen van de omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat alle manieren worden gelogd waarop gegevens benaderd kunnen worden.
-
Wat kan ik doen om de omvang van een eventuele (toekomstige) inbreuk te beperken?
U kunt de omvang van een inbreuk beperken door gegevens offline te bewaren en door netwerksegmentatie toe te passen.
Bij netwerksegmentatie (het scheiden van interne netwerken) kan een inbreuk beperkt worden gehouden tot het direct getroffen netwerk.
Het is van belang om de toegang tot gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.
-
Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?
Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.
Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.
-
Kunnen bestanden zijn versleuteld zonder eerst geopend te zijn?
Nee. Voordat bestanden kunnen worden versleuteld, moeten ze eerst worden geopend. Pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.
Als u de bestanden versleuteld aantreft, is het dus zeker dat een derde toegang heeft gehad tot deze bestanden en deze heeft geopend. En dat betekent ook dat deze derde de gegevens in die bestanden heeft kunnen inzien en kopiëren.
-
Is de inbreuk beëindigd als ik de bestanden heb teruggezet uit de backups en de ransomware is verwijderd?
Nee. Als u niet heeft onderzocht wat de omvang van de inbreuk is geweest, kunt u niet aannemen dat de inbreuk beperkt is gebleven tot het versleutelen van de betreffende bestanden.
Bij inbreuken waarbij ransomware is aangetroffen, is de controle over het systeem in ieder geval gedeeltelijk verloren gegaan.
U moet er rekening mee houden dat een derde toegang heeft gehad tot het hele systeem en alle gekoppelde bestanden en systemen.
Dat betekent dat u ervan uit moet gaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. Daarmee kan het datalek groter zijn dan het op het eerste gezicht lijkt.