De risico-inschatting bij het melden van datalekken gaat nog te vaak mis. Dat stelt de Autoriteit Persoonsgegevens (AP) in haar recent gepubliceerde Rapportage datalekken 2023.
Het afgelopen jaar werden er 25.694 datalekken gemeld bij de AP. Volgens de AP zijn er echter nog steeds veel organisaties (7 op de 10!) die de betrokken personen niet informeren wanneer hun persoonlijke gegevens in verkeerde handen zijn gevallen.
Terug naar de basis: wat is een datalek?
Er sprake van een datalek wanneer er een inbreuk op de beveiliging van persoonsgegevens plaatsvindt en dit leidt tot bijvoorbeeld verlies, wijziging of onterecht bezit van de gegevens. Datalekken zijn er dus in veel soorten en maten. Zo is sprake van een datalek wanneer een hacker toegang krijgt tot persoonlijke gegevens, maar ook wanneer een werknemer per ongeluk een externe e-mail stuurt waarin alle e-mailadressen in het CC-veld in plaats van het BCC-veld staan.
Of een datalek ernstig genoeg is om te melden hangt af van de risico’s die het met zich meebrengt voor de rechten en vrijheden van de betrokkenen. Deze risico’s worden volgens de AP in de praktijk dus vaak te laag ingeschat. Vooral als het gaat om de vraag of betrokkenen moeten worden geïnformeerd. Hoe zit dat precies?
Bij wie ligt de meldplicht van een datalek?
Allereerst is het belangrijk om te weten dat de meldplicht van een datalek bij de verwerkingsverantwoordelijke ligt. Dit is de partij die het doel en de middelen bepaalt voor de verwerking van de persoonsgegevens. Daarnaast kennen we de verwerker, de partij die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Wanneer een organisatie een IT-leverancier inhuurt om persoonsgegevens te verwerken, dan is deze organisatie aan te merken als de verwerkingsverantwoordelijke en de IT-leverancier als de verwerker. In de praktijk zien we vaak dat IT-leveranciers het doelwit van cyberaanvallen zijn. Indien er een cyberaanval plaatsvindt bij zo’n IT-leverancier ligt de meldplicht en daarmee risico-inschatting echter nog steeds bij de organisatie, niet bij de IT-leverancier.
Risico-inschatting bij de meldplicht datalekken
Wanneer er een datalek plaatsvindt moet door middel van de risico-inschatting worden beoordeeld of het lek moet worden gemeld aan de AP en de betrokkenen. De regel is dat een datalek moet worden gemeld aan de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de betrokken personen. Een voorbeeld hiervan is wanneer een onrechtmatige ontvanger van persoonsgegevens niks met de gelekte gegevens kan, omdat deze zijn versleuteld. Bij de vraag of sprake is van een risico voor de rechten en vrijheden van betrokkenen wordt gekeken naar verschillende factoren, zoals de aard van de inbreuk en gevoeligheid van de persoonsgegevens. Kort gezegd kun je ervan uitgaan dat wanneer een grote hoeveelheid persoonsgegevens of gevoelige gegevens betrokken zijn bij een incident er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Bij gevoelige gegevens kun je denken aan gegevens over de gezondheid, maar ook creditcardgegevens en (kopieën van) identiteitsdocumenten.
Wordt het datalek gemeld aan de AP, dan is de volgende vraag of de inbreuk ernstig genoeg is om ook de betrokken personen te moeten informeren. Hier gaat het volgens de AP dus vaak mis met de risico-inschatting. Bij het melden aan betrokkenen geldt: als het datalek een hoog risico voor de betrokkenen met zich meebrengt, dan moeten zij geïnformeerd worden. Deze eis is dus een stukje strenger dan het melden aan de AP, maar alsnog kan al snel sprake zijn van een hoog risico voor de betrokkenen.
Volgens de AP is sprake van een hoog risico wanneer het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor betrokkenen. Bij lichamelijke schade kan men denken aan het wissen van cruciale medische gegevens. Materiële schade is bijvoorbeeld een datalek waarbij creditcardgegevens openbaar zijn gemaakt. Bij immateriële schade gaat het bijvoorbeeld om de kans op discriminatie of inbreuk op iemands persoonlijke levenssfeer.
Het is dus van belang om scherp te zijn bij deze laatste risico-inschatting en niet te gauw uit te gaan van een laag risico. De algemene regel waar de AP vanuit gaat is dat indien niet is uit te sluiten dat informatie gelekt is, of met welk risico, organisaties van het ergste geval moeten uitgaan. Bij twijfel is het dus altijd verstandig om zowel de AP als de betrokkenen te informeren over een datalek. De AP doet immers actief onderzoek naar situaties waarbij een organisatie de slachtoffers niet informeert of onvoldoende nieuwe beveiligingsmaatregelen neemt om nieuwe datalekken te voorkomen.
Heeft een datalek plaatsgevonden en kom je er niet uit? Of wil je weten wat je kunt doen om datalekken zo veel mogelijk te voorkomen? Bekijk onze handige factsheet of neem contact met ons op.
