Bij ontdekking van een datalek van persoonsgegevens moet snel worden gehandeld. Als er een meldingsplicht is bij de toezichthoudende autoriteit (de Autoriteit Persoonsgegevens), dient het datalek binnen 72 uur na ontdekking gemeld te worden. Ook moeten betrokkenen soms worden geïnformeerd. De voorwaarden voor een meldingsplicht bestaat uit open normen en zijn daarom voor verschillende interpretaties vatbaar. Het Europese privacy adviesorgaan (EDPB) heeft daarom een document opgesteld met praktische handvatten voor veelvoorkomende datalekken. Aan de hand van een aantal voorbeeldsituaties wordt onder meer besproken of er een meldingsplicht is aan de toezichthouder en/of betrokkene(n).
Wat is een datalek?
Terug naar de basis. Een datalek is vernietiging, verlies, wijziging, toegang tot of delen van persoonsgegevens zonder dat dat de bedoeling was. Onlangs werd bijvoorbeeld bekend dat medewerkers hebben gehandeld in de persoonsgegevens van de coronasystemen van de GGD. Deze medewerkers hadden hier uiteraard geen bevoegdheid toe. De persoonsgegevens werden onrechtmatig gebruikt en is derhalve een datalek.
Richtsnoeren EDPB
Er bestaan al richtsnoeren van het EDPB voor het melden van datalekken. Het bevat uitgebreide algemene informatie over datalekken. Ze zijn echter niet praktisch. Na het lezen van de richtsnoeren is het vaak nog onduidelijk of er in een bepaalde situatie een meldingsplicht is. Daarom heeft het EDPB onlangs een meer praktijkgerichte en op voorbeelden gebaseerd document opgesteld in aanvulling op de richtsnoeren. Het nieuwe document bevindt zich nog in de consultatiefase. Tot 2 maart 2021 is er de mogelijkheid om te reageren op het document.
Praktische handvatten
Het nieuwe document bevat 18 voorbeelden van veelvoorkomende datalekken. Per voorbeeld wordt uitgelegd welke voorzorgsmaatregelen kunnen worden gebruikt ter voorkoming van het datalek en hoe groot het risico van het datalek is of kan zijn. Voor ransomware aanvallen kan het trainen van personeel bijvoorbeeld helpen om ransomware te herkennen. Verder kan een deugdelijk back-up beleid de risico’s beperken.
Ook wordt per voorbeeld het beperken van de gevolgen van het datalek toegelicht en of er een meldingsplicht is. De meldingsplicht wordt daarbij onderverdeeld in (i) intern documenteren, (ii) melden aan de toezichthoudende autoriteit, en (iii) melden aan betrokkenen. Als een ex-werknemer bijvoorbeeld bedrijfsinformatie heeft gekopieerd waar hij tijdens zijn dienstverband toegang toe had en vervolgens met de daarin genoemde contactgegevens bedrijven benadert, dan kan een melding aan de toezichthoudende autoriteit verplicht zijn. Daarnaast is, zoals bij ieder datalek, het intern documenteren ervan verplicht. Het EDPB geeft bij dit voorbeeld echter aan dat het melden aan betrokkenen niet verplicht is. Desondanks kan het vanuit reputatieoogpunt verstandig zijn de betrokkenen te informeren.
Conclusie
De nieuwe richtsnoeren van het EDPB zullen niet voor alle situaties duidelijkheid scheppen en geven geen garanties. Het blijven algemene voorbeelden. Per situatie is een afweging van de omstandigheden altijd vereist. Geen datalek is immers hetzelfde. Daarnaast kan het informeren van betrokkenen vanuit AVG-oogpunt wellicht niet verplicht zijn, maar is het voor de reputatie van het bedrijf toch verstandig om dit wel te doen. Staar dus niet blind op enkel de wettelijke verplichtingen.
Wij hebben ervaring met het afwegen van de omstandigheden en het toepassen van het wettelijke kader in geval van datalekken. Wij helpen u daarbij graag. Meer weten over het voorkomen en/of melden van datalekken? Neem dan gerust contact op met Floortje Eijdems of één van de andere leden van het Privacy-team.