Datalek: wel of niet melden

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd?

Direct een datalek melden

Wel of niet melden datalek bij AP

In de Algemene verordening gegevensbescherming (AVG) staat dat u een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor  'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.  

U beoordeelt zelf of u een datalek moet melden bij de AP. Daarvoor moet u een risico-inschatting maken. Twijfelt u of u het datalek moet melden? Dan kunt het beste het zekere voor het onzekere nemen en het datalek wél melden.

U hoeft het datalek mogelijk niet te melden bij de AP in de volgende gevallen:

Vooraf getroffen maatregelen

U heeft passende maatregelen getroffen voordat het datalek plaatsvond. Hierdoor zijn de gelekte persoonsgegevens onbegrijpelijk voor onbevoegden. Bijvoorbeeld doordat de gegevens goed zijn versleuteld of vervangen door een hashwaarde.

Let op: deze uitzondering geldt alleen als u aan deze 3 voorwaarden voldoet:

1. De gegevens zijn nog volledig intact.
2. U heeft nog steeds de volledige controle over de gegevens (u beschikt over een recente back-up).
3. De sleutel die voor de encryptie of voor de hashing is gebruikt heeft geen gevaar gelopen bij het datalek. En deze sleutel is ook met de beschikbare technologie niet vindbaar voor onbevoegden.

De onjuiste ontvanger is betrouwbaar

Heeft u persoonsgegevens gelekt aan een verkeerde ontvanger? Maar gaat het om een betrouwbare ontvanger? Dan kan dit betekenen dat het onwaarschijnlijk is dat het datalek een risico oplevert voor de slachtoffers. U hoeft het datalek dan niet te melden bij de AP (en ook niet aan de slachtoffers).

‘Betrouwbaar’ houdt in dat u er redelijk zeker van kunt zijn dat de onjuiste ontvanger geen kwaad in de zin heeft. Dus dat deze ontvanger verder niets doet met de per ongeluk ontvangen gegevens. En dat deze zich houdt aan uw eventuele instructies. Bijvoorbeeld om de persoonsgegevens terug te sturen of te vernietigen.

Betrouwbare ontvangers kunnen bijvoorbeeld zijn:

• partijen waarmee u een zakelijke relatie heeft, zoals een vaste leverancier;
• partijen die een wettelijk beroepsgeheim hebben, zoals een huisarts of andere zorgverlener;
• een onjuiste ontvanger die zelf melding doet van de ontvangst van persoonsgegevens én de persoonsgegevens heeft teruggestuurd of vernietigd.

Is de verkeerde ontvanger een betrouwbare partij? Dan kunt u dit meewegen als u de risico’s van het datalek beoordeelt. Wanneer de ontvanger te vertrouwen is, kan dit namelijk de risico’s van het datalek wegnemen. U hoeft het datalek dan niet te melden bij de AP (en ook niet aan de slachtoffers).

Wel of niet informeren slachtoffers over datalek

Hoeft u een datalek niet te melden aan de AP? Dan hoeft u het ook niet te melden aan de slachtoffers. U hoeft de slachtoffers alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.

U beoordeelt dit zelf. Daarvoor moet u een risico-inschatting maken. Kunt u aannemelijk maken dat dit hoge risico er niet is? Dan hoeft u de slachtoffers niet te informeren over het datalek.

Let op: U moet het datalek mogelijk wel bij de AP melden. Als dat zo is, geeft u in uw melding aan dat u het datalek niet heeft gemeld aan de betrokkenen (slachtoffers). Als onderbouwing hiervoor vermeldt u welke redenen u heeft om de betrokkenen niet te informeren.

U hoeft de slachtoffers ook niet te informeren over het datalek in deze gevallen:

Achteraf getroffen maatregelen

Heeft u maatregelen getroffen om het datalek te beëindigen én de gevolgen beperkt, onmiddellijk nadat het datalek plaatsvond? Dan hoeft u het datalek mogelijk niet te melden aan de betrokkenen. Daarbij is het noodzakelijk dat het hoge risico voor de slachtoffers zich hierdoor waarschijnlijk niet (meer) zal voordoen. Bijvoorbeeld wanneer u de persoon die toegang tot de persoonsgegevens heeft gehad onmiddellijk heeft geïdentificeerd. En u actie heeft ondernomen voordat die persoon iets met de persoonsgegevens kon doen.

Uitzonderingen UAVG

Daarnaast noemt de Uitvoeringswet AVG (UAVG) 2 gevallen waarin u de slachtoffers niet hoeft te informeren:

1. Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming van de privacy van anderen. Bijvoorbeeld wanneer kinderen een hulpvraag hebben gedaan zonder dat hun ouders dit weten.
2. Is uw organisatie een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft)? Dan geldt de meldplicht aan de slachtoffers niet voor u. Wel geldt de meldplicht datalekken aan de AP.

Onevenredige inspanning

Vraagt het individueel informeren van de slachtoffers een onevenredige inspanning van u? Bijvoorbeeld omdat u de contactgegevens van de slachtoffers bent kwijtgeraakt door het datalek? Of omdat het aantal slachtoffers enorm is? Dan mag u de slachtoffers ook informeren met een openbare mededeling of een soortgelijke maatregel. Bijvoorbeeld door een bericht te plaatsen op sociale media of in de lokale krant.

Let op: De slachtoffers moeten hiermee even doeltreffend worden geïnformeerd. Dat betekent dat zij op tijd genoeg informatie krijgen over het datalek en wat zij kunnen doen tegen de mogelijke gevolgen van het datalek.

Beoordelen risico datalek

Bij het inschatten van het risico van een datalek kijkt u naar de specifieke omstandigheden van het datalek. U houdt daarbij rekening met de gevolgen voor de slachtoffers en hoe waarschijnlijk het is dat die gevolgen zich voordoen.

Soms is het risico heel duidelijk. Bijvoorbeeld wanneer er volledige medische dossiers zijn gelekt. Maar vaker is het een inschatting. Ook dan moet u de situatie objectief beoordelen. Deze factoren helpen u om uw afweging objectief te maken:

Aard van de inbreuk

Zijn er persoonsgegevens gewist, gewijzigd of gelekt? Voorbeeld: het lekken van medische persoonsgegevens aan een onbevoegde persoon heeft andere gevolgen dan wanneer deze gegevens verloren zijn gegaan.

Aard en gevoeligheid van de persoonsgegevens en de hoeveelheid

Hoe gevoeliger de gegevens, hoe groter het risico op schade. Houd ook rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Want juist een combinatie van gegevens kan de impact groter maken. Daarnaast kan de context waarbinnen het datalek heeft plaatsgevonden leiden tot een hoger risico. Bijvoorbeeld wanneer de naam en het adres van een adoptieouder aan een biologische ouder worden bekendgemaakt.

Gemak waarmee personen kunnen worden geïdentificeerd

Kun je op basis van het datalek eenvoudig zien om wie het gaat? Kijk daarbij ook naar eventuele maatregelen waarmee het lastiger of onmogelijk wordt om de personen te kunnen identificeren. Zoals versleuteling en pseudonimisering van de gegevens.

Ernst van gevolgen voor slachtoffers

De gevolgen van een datalek kunnen ernstig zijn. Vooral wanneer het datalek kan leiden tot bijvoorbeeld identiteitsdiefstal of reputatieschade. Het risico wordt kleiner wanneer de gegevens in handen zijn gekomen van een betrouwbare ontvanger die er niet op uit is om schade te veroorzaken.

Bijzondere kenmerken van de persoon

Wanneer gegevens van kwetsbare personen zijn gelekt, kunnen deze personen een groter risico op schade lopen. Bijvoorbeeld kinderen.

Bijzondere kenmerken van uw organisatie

De risico’s van een datalek bij een ziekenhuis zullen bijvoorbeeld groter zijn dan van een datalek bij een mailinglijst van een krant.

Aantal slachtoffers

Over het algemeen kan een datalek grotere gevolgen hebben naarmate er meer personen bij betrokken zijn. Maar een inbreuk kan ook voor maar één persoon ernstige gevolgen hebben.

Datalek met hoog risico

Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot:

• Fysieke (lichamelijke) schade. Bijvoorbeeld wanneer cruciale medische gegevens zijn gewist, waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt. Of bij doorbreking van het beroepsgeheim.
• Materiële (financiële) schade. Bijvoorbeeld bij een datalek met creditcardgegevens. Hierdoor bestaat de kans dat iemand online bestellingen kan plaatsen op kosten van een ander. Of andere vormen van financieel verlies, identiteitsdiefstal of identiteitsfraude (bijvoorbeeld bij een datalek met complete kopieën van identiteitsbewijzen of het BSN in combinatie met andere persoonsgegevens).
• Immateriële schade. Zoals kans op discriminatie (bijvoorbeeld bij een datalek met gegevens over ras/etniciteit, geloof of seksuele geaardheid), reputatieschade (bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk) of inbreuk op iemands persoonlijke levenssfeer.

Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:

• Het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens, waardoor deze gegevens weer tot personen te herleiden zijn. Bij pseudonimisering worden de daadwerkelijke persoonsgegevens gemaskeerd door een andere gegeven ervoor in de plaats te gebruiken.
• Een situatie waarbij de slachtoffers hun rechten en vrijheden niet kunnen uitoefenen, zoals het recht op inzage in of verwijdering van hun persoonsgegevens. Of waarin zij geen controle over hun persoonsgegevens kunnen uitoefenen.

Andere voorbeelden van datalekken met een hoog risico:

• Datalek met bijzondere persoonsgegevens.
• Datalek met strafrechtelijke persoonsgegevens.
• Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Vooral als het gaat om profilering op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
• Datalek met persoonsgegevens van kwetsbare groepen. Zoals mensen met een beperking, zieken, kinderen en ouderen.
• Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor een heel grote groep mensen.

In al deze gevallen moet u ervan uitgaan dat u het datalek moet melden aan de AP en aan de slachtoffers. Tenzij er sprake is van een uitzondering op de meldplicht datalekken.

Hulpmiddelen datalek wel of niet melden

• De Guidelines meldplicht datalekken kunnen u helpen om te bepalen of u een datalek moet melden bij de AP (zie vooral hoofdstuk IV).
• Hoofdstuk III en IV van de Guidelines meldplicht datalekken kunnen u helpen om te bepalen of u de slachtoffers moet informeren over een datalek.
• Voor concrete voorbeelden van situaties waarin u een datalek wel of niet moet melden aan de AP en de slachtoffers, zie:  Voorbeeldlijst wel/niet melden datalek en Guidelines over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens . Per voorbeeld staat aangegeven welke maatregelen u moet nemen en of u het datalek moet melden aan de AP en de betrokkenen.

Overtreding meldplicht datalekken

Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete opleggen. Meldt u een datalek ten onrechte niet aan de slachtoffers? Dan kan de AP u verplichten de slachtoffers alsnog te informeren. En verzwijgt u ten onrechte een datalek met een hoog risico voor de slachtoffers? Ook dan kan de AP u een boete opleggen.