MSP Kennisbank

Procedure Meldplicht Datalekken

282 5 July 2021

Bij de AVG komt ook de plicht een datalek te melden als dat zich voordoet. Of ja, in sommige gevallen dan, want het is niet altijd nodig. Niet duidelijk? Lees hier wat je moet weten over de Procedure Meldplicht Datalekken.

AVG en meldplicht datalekken

In de AVG staat het volgende over het melden van datalekken.

Met de AVG wordt de verplichting ingevoerd om een inbreuk in verband met persoonsgegevens te melden aan de bevoegde nationale toezichthoudende autoriteit (of, in het geval van een grensoverschrijdende inbreuk, aan de leidende toezichthoudende autoriteit) en, in bepaalde gevallen, om de inbreuk mee te delen aan de personen op wier persoonsgegevens de inbreuk betrekking heeft.

Oké, dus als er een datalek is moet je dat melden bij de Autoriteit Persoonsgegevens (AP), als het gaat om een lek in Nederland. Buiten Nederland moet je eerst op zoek naar de organisatie die er in het betreffende land verantwoordelijk voor is. Check.

Maar als het zo makkelijk was, hadden we er geen artikel over hoeven schrijven. Dus waar zitten dan de moeilijkheden en hoe weet jij als ICT-dienstverlener nou precies wat je moet doen? Lees vooral verder 😃

Wanneer is er sprake van een datalek?

Als er data in verkeerde handen is gekomen of openlijk ‘op straat’ ligt is er sprake van een datalek. Maar voor de AVG is het van belang of er inbreuk is (geweest) op de beveiliging van persoonsgegevens en als daarbij vernietiging, verlies, wijziging of ongeoorloofde toegang tot die gegevens komt kijken.

Sleutelwoord is hier dus persoonsgegevens. Als de jaarcijfers in verkeerde handen zijn gekomen is dat natuurlijk reden tot paniek, maar het zijn geen gegevens die bij een natuurlijk persoon horen of te herleiden zijn tot een of meerdere natuurlijke personen. Hiervan hoeft geen melding gedaan te worden bij de Autoriteit Persoonsgegevens.

We hebben het over een datalek als persoonsgegevens per ongeluk of onrechtmatig:

  • Vernietigd zijn (bijvoorbeeld door een brand, een gecrashte server zonder back up)
  • Verloren zijn (bijvoorbeeld een dossier dat in de trein is blijven liggen)
  • Toegankelijk (kunnen) zijn voor de verkeerde personen (bijvoorbeeld een hack in het systeem, personeelsleden die onnodig toegang hebben tot informatie, e-mail naar de verkeerde ontvanger)

Een datalek meldt zich natuurlijk niet bij jou, jij moet het ontdekken. Wel kun je tot op zekere hoogte je systeem inzetten om te monitoren of meldingen af te geven wanneer het vreemde activiteiten ontdekt. Maar net zo belangrijk zijn oplettende medewerkers. Medewerkers moeten op de hoogte zijn van alle risico’s en ook zelf melding maken als zij bijzondere activiteiten waarnemen op het systeem of in hun mailbox. Ook als zij een e-mail naar de verkeerde perso(o)n(en) hebben gestuurd moeten zij dat melden. Het is daarom niet zo’n gek idee als jij cybersecurity opneemt in je dienstverlening. Zo heb jij zicht op de zwakke plekken in de organisatie en kun je daar snel en gericht op inspelen.

Of een datalek vervolgens gemeld moet worden bij de AP, hangt af van verschillende factoren.

Wat meld je wel?

Als jij bij één van je klanten een datalek ontdekt, licht je uiteraard direct je klant in én zorg je er zo snel mogelijk voor dat het lek weer dicht is. Je klant heeft, als het goed is, een FG (Functionaris Gegevensbescherming) in dienst die de melding oppakt en, eventueel samen met jou, nagaat of het lek bij de AP gemeld moet worden. Uitgangspunt daarbij is het risico dat het lek daadwerkelijk inbreuk maakt of gaat maken op de bescherming van de persoonsgegevens. Oftewel: of het lek daadwerkelijk gevolgen heeft voor de betroffen personen.

Of dat risico er is, kun je beoordelen aan de hand van de volgende vragen:

  • De aard van de inbreuk (wat is er precies gebeurd?)
  • Aard, gevoeligheid en het aantal persoonsgegevens
    • bijzondere persoonsgegevens* of gegevens van vertrouwelijke aard**
  • Gemak waarmee personen kunnen worden geïdentificeerd
  • Ernst van de gevolgen voor personen
  • Kwetsbaarheid van getroffen personen (zoals kinderen of zieken)
  • Het aantal getroffen personen

Als hieruit blijkt dat er een risico is voor de betrokkenen, moet je dit datalek binnen 72 uur na het ontdekken van het lek melden bij de AP.

Betrokkenen inlichten

Vervolgens moet ook beoordeeld worden of het lek aan de betrokken personen gemeld moet worden. Ook dat gaat aan de hand van het risico dat ze lopen:

  • Is er een risico op fysieke of materiële schade? Medische gegevens, BSN-nummers en inloggegevens voor internetbankieren,
  • Is er kans op stigmatisering of reputatieschade? Gaat het om gegevens over iemands gedrag, zoals gegevens over schulden, strafbare feiten of specifieke voorkeuren? Dat kan namelijk leiden tot misbruik of chantage.
  • Is er kans op andere ernstige gevolgen? Denk aan gegevens van mensen in een onderduikprogramma.

Informeer zo snel mogelijk, maar denk er wel goed over na. Laat dit bij voorkeur aan de communicatiespecialisten over. In het meldformulier voor de melding bij de AP moet je ook aangeven of getroffenen zijn geïnformeerd en hoe.

*Godsdienst of levensovertuiging, ras of etnische afkomst, politieke opvattingen, gezondheid, seksuele leven, lidmaatschap vakbond, strafrechtelijk verleden en genetische of biometrische gegevens met oog op unieke identificatie.
**Financieel of economisch, stigmatiserend, specifieke problemen, school of werkprestaties, inloggegevens, gegevens die bruikbaar zijn voor identiteitsfraude, gegevens die vallen onder beroepsgeheim.

Wat meld je niet?

Een datalek hoef je niet aan de AP te melden als:

  • je vooraf adequate maatregelen hebt getroffen. Bijvoorbeeld als je je systeem zo hebt ingericht dat bij een datalek de gegevens onbegrijpelijk zijn voor degenen die ze in handen krijgen, omdat ze versleuteld zijn of vervangen door een hashwaarde. Dit geldt alleen als:
    • de gegevens nog volledig intact zijn.
    • jij nog steeds de volledige controle hebt over de gegevens.
    • de sleutel die voor de encryptie of voor de hashing is gebruikt geen gevaar heeft gelopen bij het datalek. En deze ook met de beschikbare technologie niet vindbaar is voor onbevoegden.
  •  De onjuiste ontvanger is betrouwbaar. Als je kunt aantonen dat de ontvanger de gegevens weliswaar niet had mogen ontvangen, maar je haar of hem er wel mee kunt vertrouwen, dan vormt het datalek waarschijnlijk geen risico.

Melden aan de betrokkenen niet verplicht

Als je geen melding hoeft te doen bij de AP, hoef je ook de betrokkenen niet te informeren. Maar ik in de volgende gevallen is het melden van het lek bij de betrokkenen niet nodig:

  • Als hierdoor de nationale of openbare veiligheid of de privacy van anderen in gevaar komt. Bijvoorbeeld als kinderen een hulpvraag hebben gedaan zonder dat hun ouders dat weten.
  • Als je organisatie een financiële onderneming is zoals bedoeld in de Wet op het financieel toezicht (Wft). Maar dan geldt wel weer de meldplicht aan de AP.

Als het ‘onevenredig veel inspanning’ vraagt om de betrokkenen te informeren, bijvoorbeeld omdat je de persoonsgegevens kwijt bent door het datalek of omdat het om een heel grote groep gaat, dan is het mogelijk een openbare mededeling te doen waarvan je zeker weet dat het de betrokken personen bereikt.

Zelf registreren

Of het lek nu wel of niet gemeld worden bij de AP en/of betrokken personen; je moet het wel altijd zelf registreren. Hiervoor leg je een Datalekkenregister aan. Daar lees je verderop meer over.

Wat staat er in een procedure meldplicht datalekken?

In beginsel is het natuurlijk de verantwoordelijkheid van je klant om alles rondom AVG op orde te hebben. Je klant moet dus ook een procedure voor datalekken hebben. Het is echter niet gek als jij je er als ICT-dienstverlener of MSP mee bemoeit. Jouw dienstverlening moet er namelijk wel op aansluiten. De meest ideale situatie is dat jij samen met je klant een procedure omschrijft. Dan ben je er ook zeker van dat er overeenstemming is en dat iedereen weet wat zij/hij van de ander kan verwachten. Het is dan goed om te weten wat er in ieder geval in zo’n datalekprocedure moet komen staan:

  1. Een ‘team datalekken’ -> Bij je klant moet een groep personen verantwoordelijk zijn voor de beoordeling en afhandeling van datalekken. Uiteraard zit daar de Privacy Officer of Functionaris voor de Gegevensbescherming bij. Maar ook jij als ICT-dienstverlener. Daarnaast bij voorkeur ook een jurist en/of communicatiemedewerker. DIt team moet op de hoogte moeten zijn van het toetsingskader en de vragen die moeten worden beantwoord bij het melden van een datalek bij de AP.
  2. Aanspreekpunt -> Om een datalek snel en efficiënt aan te pakken is het handig als er een vast aanspreekpunt in de organisatie is. Zowel de eigen medewerkers als jij en je leveranciers moeten weten wie dit is. Ook is het belangrijk dat iedereen weet wanneer en hoe er gemeld moet worden. te melden.
  3. Informatie over datalekken -> De datalekprocedure moet bij alle medewerkers bekend zijn en voor alle medewerkers toegankelijk zijn. Dat betekent dat iedereen weet waar het over gaat en wat er van ze verwacht wordt. Geef daarom kort weer wat een datalek is, waarom het een risico kan zijn als gegevens lekken, waar medewerkers alert op moeten zijn en wat ze moeten doen als ze een lek vermoeden.

Zorg ervoor als MSP of ICT-dienstverlener dat je betrokken bent bij de procedure van je klant, zodat je ook weet waar de zwakke plekken in de organisatie zitten. Dan weet je namelijk ook meteen waar jouw dienstverlening risico loopt.

Kort: stappenplan procedure meldplicht datalekken

Tot slot een kort en overzichtelijk stappenplan ‘wat te doen bij een datalek’. In bijvoorbeeld Topdesk of Autotask kun je hiervoor een Template voor maken met een bijbehorende checklist.

  1. Vaststellen datalek

    We hebben het hier over het vaststellen van een datalek van persoonsgegevens.
    Dat betekent dat persoonsgegevens:
    – verloren zijn
    – onbereikbaar of vernietigd zijn
    – gewijzigd zijn
    – in verkeerde handen zijn gekomen of kunnen komen

  2. Actie en beoordeling

    – Onderneem direct actie om het lek te dichten en verdere schade te voorkomen.
    – Onderzoek wat er precies is gebeurd en hoe groot de schade én het risico voor de betrokkenen is.
    – Beoordeel of de het lek bij de AP en/of de betrokken personen gemeld moet worden.

  3. Melden bij de Autoriteit Persoonsgegevens

    Alleen als er een risico voor de betrokkenen is ontstaan, meld je het lek bij de AP. Dit moet binnen 72 uur na het ontdekken van het lek.

  4. Betrokkenen informeren

    Als er een hoog risico is ontstaan voor de betrokkenen, licht je deze in. Dit is bijvoorbeeld het geval als er:
    – lichamelijke of mentale schade kan ontstaan
    – materiële of immateriële schade kan ontstaan.

  5. Registreren in eigen Datalekregister

    Alle datalekken moeten altijd in een eigen register worden bijgehouden. Ook als melding bij AP of betrokkenen niet nodig blijkt. In een datalekregister neem je op:
    – omschrijving van het datalek
    – of het gemeld is bij AP
    – of betrokkenen geïnformeerd zijn
    – motivering van de beslissing wel of niet te melden en informeren