Datalek: wel of niet melden
Of u een datalek wel of niet moet melden bij de Autoriteit Persoonsgegevens (AP), is afhankelijk van de mogelijke impact van het datalek op de slachtoffers. Ook de vraag of u de slachtoffers moet informeren over het datalek, hangt af van het risico dat zij lopen door het datalek.
Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?
Direct een datalek melden of een datalektip geven
Op deze pagina vindt u informatie over de manier waarop u het risico voor de slachtoffers kunt bepalen. Verder vindt u specifieke informatie en hulpmiddelen die u helpen in te schatten of u een datalek moet melden aan de AP en of u de slachtoffers moet informeren.
Op deze pagina
Beoordelen risico datalek
In de Algemene verordening gegevensbescherming (AVG) staat dat u:
- Een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.
- De slachtoffers moet informeren als een datalek waarschijnlijk een hoog risico voor hen oplevert.
U moet dus een risico-inschatting maken om te beslissen of u een datalek wel of niet meldt bij de AP en of u de slachtoffers wel of niet informeert.
Bij het bepalen van het risico van een datalek kijkt u naar de omstandigheden van het datalek. U houdt daarbij rekening met de gevolgen voor de slachtoffers en hoe waarschijnlijk het is dat die gevolgen zich voordoen.
Soms is het risico heel duidelijk. Bijvoorbeeld wanneer medische dossiers zijn gelekt. Of als persoonsgegevens zijn gestolen door een hacker. Maar vaker is het een weging van meerdere factoren.
Factoren bij risico datalek
De volgende factoren helpen u om uw afweging objectief te maken:
- de aard van de inbreuk;
- de aard en gevoeligheid van de persoonsgegevens en de hoeveelheid;
- het gemak waarmee personen kunnen worden geïdentificeerd;
- de ernst van de gevolgen voor de slachtoffers;
- kenmerken van de onbevoegde ontvanger;
- bijzondere kenmerken van de persoon;
- bijzondere kenmerken van uw organisatie;
- aantal slachtoffers.
Tip: In de gegevensbeschermingsgids voor het mkb van de EDPB vindt u een stroomschema die u kan helpen bij het maken van een objectieve afweging.
Aard van de inbreuk
Het type inbreuk kan van invloed zijn op het risico. Bijvoorbeeld: zijn er persoonsgegevens gewist, gewijzigd of gelekt? Het lekken van persoonsgegevens aan een onbevoegde persoon heeft andere gevolgen dan persoonsgegevens die verloren gaan.
Aard en gevoeligheid van de persoonsgegevens en de hoeveelheid
Hoe gevoeliger de gelekte gegevens, hoe groter het risico op schade. Daarnaast kan de context leiden tot een hoger risico. Bijvoorbeeld wanneer de naam en het adres van een adoptieouder aan een biologische ouder worden bekendgemaakt. De hoeveelheid informatie die van een slachtoffer wordt gelekt, heeft ook invloed op het risico.
Houd bij de volgende soorten persoonsgegevens in ieder geval rekening met een hoog risico:
- Bijzondere persoonsgegevens, zoals gegevens over de gezondheid.
- Strafrechtelijke persoonsgegevens.
- Informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Vooral bij profilering op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
Andere voorbeelden van gevoelige gegevens zijn:
- creditcardgegevens;
- (kopieën van) identiteitsdocumenten;
- burgerservicenummer (BSN) in combinatie met aanvullende gegevens, zoals NAW-gegevens.
Wanneer deze gegevens in verkeerde handen vallen, kunnen ze misbruikt worden voor fraude. Zoals identiteitsfraude.
Sommige categorieën van persoonsgegevens kunnen in eerste instantie niet gevoelig lijken. Zoals een telefoonnummer en e-mailadres. Maar in handen van (cyber)criminelen kunnen deze gegevens worden misbruikt voor gerichte phishing-acties.
Gemak waarmee personen kunnen worden geïdentificeerd
Hoe makkelijker de gelekte gegevens te herleiden zijn naar een individu, hoe hoger het risico.
Het risico kan verkleind zijn door maatregelen die u heeft genomen om het lastiger of onmogelijk te maken om personen te identificeren. Zoals versleuteling en pseudonimisering van gegevens.
Houd ook rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Een combinatie van de gelekte gegevens met openbare gegevens kan de impact groter maken.
Ernst van gevolgen voor slachtoffers
Kan het datalek leiden tot financiële schade, identiteitsfraude, lichamelijk letsel, psychisch leed, vernedering of reputatieschade? Dan kan de schade voor het slachtoffer bijzonder ernstig zijn. U moet er dan rekening mee houden dat er een hoog risico is.
Schade voor het slachtoffer kan fysiek, materieel en immaterieel zijn:
Fysieke (lichamelijke) schade
Bijvoorbeeld wanneer cruciale medische gegevens zijn gewist, waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt.
Materiële (financiële) schade
Bijvoorbeeld bij een datalek met creditcardgegevens. Hierdoor bestaat de kans dat iemand online bestellingen kan plaatsen op kosten van een ander. Of andere vormen van financieel verlies, identiteitsdiefstal of identiteitsfraude.
Bijvoorbeeld bij een datalek:
- met complete kopieën van identiteitsbewijzen;
- met het BSN in combinatie met andere persoonsgegevens;
- waarbij (cyber)criminelen persoonsgegevens hebben gestolen.
Immateriële schade
Zoals kans op:
- discriminatie (bijvoorbeeld bij een datalek met gegevens over ras/etniciteit, geloof of seksuele geaardheid);
- reputatieschade (bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk);
- inbreuk op iemands persoonlijke levenssfeer.
Kenmerken van de onbevoegde ontvanger
Heeft u persoonsgegevens verstrekt aan een verkeerde (onbevoegde) ontvanger, maar kunt u objectief vaststellen dat deze ontvanger betrouwbaar is? Dan kunt u dit meewegen als u de risico’s van het datalek beoordeelt. Dit kan de ernst van de gevolgen voor het slachtoffer wegnemen of verminderen. Of hiervan sprake is, verschilt van geval tot geval.
Betrouwbare ontvangers kunnen bijvoorbeeld zijn:
- een verkeerde collega of afdeling binnen uw eigen organisatie;
- partijen waarmee u een zakelijke relatie heeft, zoals een vaste leverancier;
- partijen die een wettelijk beroepsgeheim hebben, zoals een huisarts of andere zorgaanbieder.
Let op: Neemt de onbevoegde ontvanger zelf contact met u op om het datalek te melden? En heeft deze partij de gegevens teruggestuurd of bevestigd dat de gegevens worden gewist? Maar valt de partij niet in de 3 genoemde categorieën? Dan kunt u er niet van uitgaan dat er sprake is van een ‘betrouwbare ontvanger’.
Dat komt omdat u de onbevoegde ontvanger niet kent. U heeft daarom geen zekerheid over de ontvanger. U kunt er dan niet redelijkerwijs op vertrouwen dat deze verder niets met de ontvangen gegevens zal doen.
Bijzondere kenmerken van de persoon
Wanneer gegevens van kwetsbare personen zijn gelekt, kunnen deze personen een groter risico op schade lopen. Bijvoorbeeld kinderen, ouderen of mensen met een beperking of ziekte.
Bijzondere kenmerken van uw organisatie
De risico’s van een datalek bij een ziekenhuis zullen bijvoorbeeld groter zijn dan bij een mailinglijst van een krant.
Aantal slachtoffers
Over het algemeen geldt: hoe meer slachtoffers er zijn, hoe groter de gevolgen van een datalek kunnen zijn. Maar een inbreuk kan ook voor maar 1 persoon ernstige gevolgen hebben.
Wel of niet melden datalek bij AP
Heeft u de risico-inschatting gemaakt, dan beoordeelt u vervolgens zelf of u het datalek moet melden bij de AP. Twijfelt u of u het datalek moet melden? Dan kunt het beste het zekere voor het onzekere nemen en het datalek wél melden.
U hoeft het datalek niet te melden bij de AP als u passende maatregelen heeft getroffen voordat het datalek plaatsvond. Waardoor de gelekte persoonsgegevens onbegrijpelijk zijn voor onbevoegden. Bijvoorbeeld doordat de gegevens goed zijn versleuteld of vervangen door een hashwaarde.
Let op: Deze uitzondering geldt alleen als u aan deze 3 voorwaarden voldoet:
- De gegevens zijn nog volledig intact.
- U heeft nog steeds de volledige controle over de gegevens (u beschikt over een recente back-up).
- De sleutel die voor de encryptie of voor de hashing is gebruikt, heeft geen gevaar gelopen bij het datalek. En deze sleutel is ook met de beschikbare technologie niet vindbaar voor onbevoegden.
Wel of niet informeren slachtoffers over datalek
Hoeft u een datalek niet te melden bij de AP? Dan hoeft u het ook niet te melden aan de slachtoffers. U hoeft de slachtoffers alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. U beoordeelt dit zelf op basis van uw risico-inschatting.
Let op: U moet het datalek mogelijk wel bij de AP melden. Als dat zo is, geeft u in uw melding aan dat u het datalek niet heeft gemeld aan de betrokkenen (slachtoffers). U moet ook aangeven welke redenen u heeft om de betrokkenen niet te informeren.
Lees welke informatie u slachtoffers moet geven over een datalek
Slachtoffers informeren niet nodig
In de AVG staan 3 situaties waarin u de slachtoffers mogelijk niet persoonlijk hoeft te informeren over het datalek:
1. Maatregelen vooraf
U heeft vooraf passende maatregelen genomen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling.
2. Maatregelen achteraf
U heeft achteraf maatregelen genomen die ervoor zorgen dat het datalek is beëindigd. En dat het hoge risico voor de slachtoffers zich waarschijnlijk niet (meer) voordoet.
Bijvoorbeeld wanneer u de persoon die toegang tot de persoonsgegevens heeft gehad, onmiddellijk heeft geïdentificeerd. En u actie heeft ondernomen voordat die persoon iets met de persoonsgegevens kon doen.
Let op: Als de onbevoegde ontvanger de persoonsgegevens al heeft ingezien, kan dit soms al een hoog risico met zich meebrengen. Bijvoorbeeld bij medische gegevens. Dan kunt u geen beroep doen op deze uitzondering.
3. Onevenredige inspanning
Het individueel informeren van de slachtoffers vraagt een onevenredige inspanning van u. Bijvoorbeeld omdat u de contactgegevens van de slachtoffers bent kwijtgeraakt door het datalek. Of omdat de contactgegevens niet bekend zijn.
U mag de slachtoffers dan ook informeren met een openbare mededeling of een soortgelijke maatregel. Bijvoorbeeld door een bericht te plaatsen op sociale media of in de lokale krant, in combinatie met een mededeling op uw website.
Let op: De slachtoffers moeten hiermee wel even doeltreffend worden geïnformeerd. Dat betekent dat zij op tijd genoeg informatie moeten krijgen over het datalek.
Uitzonderingen UAVG
Daarnaast noemt de Uitvoeringswet AVG (UAVG) 2 situaties waarin u de slachtoffers niet hoeft te informeren:
- Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming van de privacy van anderen. Bijvoorbeeld wanneer kinderen een hulpvraag hebben gedaan zonder dat hun ouders dit weten.
- Uw organisatie is een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft). De meldplicht aan de slachtoffers geldt dan niet voor u. Wel geldt de meldplicht aan de AP.
Hulpmiddelen datalek wel of niet melden
- Er zijn meerdere guidelines van de European Data Protection Board (EDPB) over de meldplicht datalekken:
- Guidelines on personal data breach notification under GDPR van 28 maart 2023.
Deze versie is uitsluitend in het Engels beschikbaar. De oude versie van 6 februari 2018 is wel in het Nederlands beschikbaar. Met name hoofdstuk IV helpt u te bepalen wat het risico van het datalek is en of u het datalek moet melden bij de AP en aan de slachtoffers. - Guidelines voorbeelden meldplicht datalekken
Hierin staan concrete voorbeelden van situaties waarin u een datalek wel of niet moet melden aan de AP en aan slachtoffers. Zie ook: Voorbeeldlijst wel/niet melden datalek.
- Guidelines on personal data breach notification under GDPR van 28 maart 2023.
- De regels voor de meldplicht datalekken staan in artikel 33 AVG en artikel 34 AVG .
- In artikel 41 UAVG en artikel 42 UAVG staan uitzonderingen op de meldplicht datalekken.
Overtreding meldplicht datalekken
Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete opleggen. Meldt u een datalek ten onrechte niet aan de slachtoffers? Dan kan de AP u verplichten de slachtoffers alsnog te informeren. En verzwijgt u ten onrechte een datalek met een hoog risico voor de slachtoffers? Ook dan kan de AP u een boete opleggen.