cybercrime

Wat moet je doen bij een datalek?

Datum: 11 mei 2022
Laatst bijgewerkt: 30 november 2022
Door: Geralde Bouw-Van de Bunt
Vanuit de Algemene verordening gegevensbescherming (AVG) ben je als organisatie verplicht om zorgvuldig om te gaan met fraudegevoelige informatie. Mocht er toch een datalek ontstaan, dan moet je dat melden bij de Autoriteit Persoonsgegevens. Aan de hand van een aantal vragen leggen we uit wat een datalek is en wat je moet doen als je er een hebt geconstateerd.
Wat is een datalek?

Bij een datalek heeft een partij ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Bij een datalek kan het ook gaan het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. 

Voorbeelden van datalekken zijn:

  • een verloren USB-stick met niet-versleutelde persoonsgegevens;
  • persoonsgegevens zijn buitgemaakt bij een cyberaanval;
  • een besmetting met ransomware die persoonsgegevens ontoegankelijk heeft gemaakt.
Moet je alle datalekken bij de Autoriteit Persoonsgegevens melden?

Nee, dat hoeft niet. Of je een datalek moet melden bij de toezichthouder, de Autoriteit Persoonsgegevens (AP), hangt af van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de privacy van betrokkenen. Als je aannemelijk kunt maken dat het datalek geen gevolgen heeft voor de rechten en vrijheden van betrokkenen, dan is het voldoende om het in een intern datalekregister vast te leggen en hoef je de AP niet te informeren.

Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?

Mocht melden bij de AP wel nodig zijn, dan moet je dit binnen 72 uur na ontdekking van het datalek doen. Dat kan via een digitaal formulier op de website van de AP.

Wie moet een datalek melden bij de Autoriteit Persoonsgegevens?

De algemene regel is dat de verwerkingsverantwoordelijke een datalek moet melden. De verwerkingsverantwoordelijke is de organisatie of persoon die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. De verwerker is de partij die de persoonsgegevens verwerkt voor de verwerkingsverantwoordelijke.

Als je als ondernemer dus een andere partij inschakelt, blijf je zelf verwerkingsverantwoordelijke en is de ingeschakelde loonadministratie/ICT-dienstverlener/het postbedrijf de verwerker. Vaak stel je met de verwerker een verwerkersovereenkomst op waarin jullie hierover meer vermelden. De verwerker is verplicht om jou als ondernemer en verwerkingsverantwoordelijke zonder onredelijke vertraging, dus zo snel mogelijk, te informeren zodra hij op de hoogte is van een datalek.

Moet je een datalek melden aan betrokkenen?

De personen waarvan  gegevens verloren zijn gegaan, hoef je alleen te informeren wanneer het datalek een hoog risico voor hun rechten en vrijheden oplevert. Om te bepalen of een datalek een hoog risico met zich meebrengt , moet je onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen, zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

Grijpt de AP in bij datalekken?

De AP kan inderdaad ingrijpen als die ontdekt dat je de meldplicht niet nakomt of het datalek verzwijgt voor de betrokkenen. De AP zal dan een boete opleggen. Hierbij houdt de AP rekening met de draagkracht van organisaties. De boetes voor deze organisaties waren gematigd: PVV Overijssel (boete € 7.500,-), een orthodontiepraktijk (boete € 12.000,-) en CP&A (boete € 15.000,-). Bij grotere organisaties is de boete maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet als dit cijfer hoger is. De AP heeft bijvoorbeeld hoge boetes opgelegd aan TikTok (€ 750.000,- vanwege de privacyschending van jonge kinderen), BKR (€ 830.000,- voor het berekenen van kosten bij inzage), UWV (€ 450.000,- voor de slechte beveiliging van groepsberichten) en de gemeente Enschede (€ 600.000,- voor het gebruik van Wi-Fi-tracking).

Wat kan ik doen als een dienstverlener mijn gegevens lekt?

Wanneer een andere partij jouw gegevens of die van je werknemers lekt, dan kun je daar behoorlijk last van hebben wanneer je bijvoorbeeld geen toegang meer hebt tot je eigen gegevens. Vanzelfsprekend kan dit ook tot forse schades leiden. Houdt een organisatie zich niet aan de regels van de AVG, dan kan een betrokkene op grond van artikel 82 AVG een schadevergoeding vorderen. De verwerkingsverantwoordelijke moet dan gehandeld hebben in strijd met de AVG, bijvoorbeeld door geen of onvoldoende passende beveiligingsmaatregelen te nemen. Hierbij is het belangrijk om te weten dat ook een rechter er rekening mee zal houden dat je zelfs bij de meest optimale beveiliging niet volledig kunt uitsluiten dat kwaadwillenden zich toegang verschaffen (zie ECLI:NL:RBGEL:2021:1888).

Een datalek leidt in de meeste gevallen niet direct tot aantoonbare, concrete schade die je in een geldbedrag kunt uitdrukken. Naast materiële schade komt ook immateriële schade in aanmerking voor schadevergoeding. Inmiddels heeft een aantal gedupeerden in Nederland een immateriële schadevergoeding gekregen van enkele honderden euro’s. Dat zijn dus geen erg forse bedragen.

Immateriële schadevergoeding toegekend
De gemeente Deventer heeft een schadevergoeding van € 500,- moeten betalen, omdat zij de gegevens van een inwoner niet in overeenstemming met de wet- en regelgeving heeft verwerkt. Het UWV heeft € 250,- betaald aan een mevrouw, toen een brief over haar eerdere ziekte bij haar nieuwe (en onwetende) werkgever werd bezorgd.

Uitspraken waarbij een materiële schadevergoeding werd toegekend
Het Hof Amsterdam oordeelde in april 2020 (ECLI:NL:GHAMS:2020:1308) dat het ontbreken van een back-up ertoe heeft geleid dat de dienstverlener is tekortgeschoten. Aan de andere kant heeft de gebruiker zelf ook steken laten vallen door onvoldoende beveiligingsmaatregelen te nemen. De partijen hebben de geleden schade daarom moeten verdelen.

De Rechtbank Amsterdam veroordeelde in 2018 (ECLI:NL:RBAMS:2018:10124) een ICT-bedrijf tot het vergoeden van de schade van haar klant na aan ransomeware-aanval, omdat er een zwakke beveiliging was opgezet voor het netwerk van de klant.

Conclusie is dus dat je eerst in kaart moet brengen hoe het datalek is ontstaan en of partijen er alles aan hebben gedaan om dit te voorkomen. Blijkt dat een partij hierin heeft gefaald, dan kan de wederpartij mogelijk schades verhalen.

Meer weten?

Deze informatie en meer kun je vinden op de website van de Autoriteit Persoonsgegeven.