Meldplicht datalekken


Sinds 1 januari 2016 geldt de meldplicht datalekken. Organisaties die een datalek hebben, moeten hiervan direct melding maken bij de Autoriteit Persoonsgegevens. Soms moeten zij het incident ook melden aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Dit overkwam onlangs een NBBU-lid.



 

DE SITUATIE

Boze uitzendkracht

Het is een mooie klus voor het uitzendbureau. Tientallen vacatures die op korte termijn vervuld moeten worden. Snel zoeken dus in het bestand naar uitzendkrachten die voldoen aan de criteria en een mailing de deur uit naar geschikte kandidaten. Werving & Selectie stuurt de gegevens van de uitzendkrachten door aan de afdeling Planning Daar wordt een mailbericht opgesteld en verzonden. Afwachten maar.
De volgende ochtend komt de eerste reactie. Een heel boze uitzendkracht. Hoe ze het in hun hoofd halen om de gegevens van meer dan duizend uitzendkrachten rond te mailen. Geboortedata, adressen, bsn-nummers, alles ligt op straat. Bij het uitzendbureau beseffen ze dat er een grote fout is gemaakt. Op een of andere manier is het bestand met de gegevens als bijlage in de mailing gekomen.

Overleg

Melden en informeren

Er volgt direct crisisberaad. Dit zou weleens onder de noemer ‘datalek’ kunnen vallen. Daarvoor bestaat sinds 1 januari 2016 een meldplicht. Op de website van de Autoriteit Persoonsgegevens is te lezen: “U moet een melding doen als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.”
“Na telefonisch overleg met de Autoriteit Persoonsgegevens besloten we het voorval te melden en ook alle uitzendkrachten te informeren”, zegt een manager van het bureau. “De melding bestaat uit vijf kantjes A4 die je moet invullen. Het rapport kregen we teruggemaild als formele bevestiging van de melding. Verder hebben we niets gehoord van de Autoriteit. Omdat het nu een aantal weken geleden is en omdat overduidelijk is dat wij hier zelf als uitzendbureau geen voordeel bij hebben gehad maar uitsluitend nadeel, mogen we inmiddels aannemen dat het met een sisser is afgelopen.”

Maatregelen

Herhaling voorkomen

De kans op herhaling is klein, maar het bureau heeft toch maatregelen genomen. Voorlopig bevatten bestanden die naar de afdeling planning gaan uitsluitend de noodzakelijke gegevens. Daarnaast nam het uitzendbureau contact op met de softwareleverancier. De software wordt nu zodanig aangepast dat het niet meer nodig is om bestanden met vertrouwelijke informatie te kopiëren, waardoor een structurele verbetering optreedt en uitgesloten is dat het in de toekomst nog eens misgaat.


 


9 vragen over datalekken


Wat te doen bij een datalek? De NBBU geeft antwoord


 

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Bij een datalek zijn de persoonsgegevens verloren geraakt of onrechtmatig verwerkt. Andere voorbeelden van datalekken, naast het onjuist versturen van persoonsgegevens per mail, zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Moet ik een datalek altijd melden bij de Autoriteit Persoonsgegevens?

Nee. U moet een datalek alleen melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

Moet ik alle datalekken melden aan betrokkenen?

Nee. U moet de betrokkenen (de personen van wie u gegevens verwerkt) alleen informeren als een datalek ongunstige gevolgen kan hebben voor hun persoonlijke levenssfeer. Hierbij kunt u denken aan identiteitsfraude, discriminatie of aantasting in goede naam. U mag de melding aan de betrokkenen eventueel achterwege laten als er passende technische beschermingsmaatregelen zijn getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden (bijv. encryptie).

Moet de verantwoordelijke of de bewerker een datalek melden?

Maakt u als uitzendonderneming gebruik van een dienst van een andere organisatie, bijvoorbeeld een administratiekantoor? En is die organisatie dus een bewerker? Dan moet u als uitzendonderneming en verantwoordelijke de melding doen als er een datalek is. Als verantwoordelijke moet u er dus voor zorgen dat u tijdig weet dat er sprake is van een datalek. En dat u vervolgens het lek meldt als dat nodig is. Zorg er daarom voor dat de bewerker u op de hoogte stelt van eventuele datalekken. U doet dit bij voorkeur door het in een bewerkersovereenkomst op te nemen. Voor NBBU-leden hebben wij een model bewerkersovereenkomst op de website staan.

Kan de betrokkene een datalek melden?

De betrokkene kan een datalek melden via een tipformulier op de website van de Autoriteit Persoonsgegevens. Betrokkenen zijn diegenen waarvan de betreffende organisatie persoonsgegevens gebruikt.

Hoe meld ik een datalek?

U kunt een datalek melden via het meldloket datalekken op de website van de Autoriteit Persoonsgegevens. Op p. 51-54 van de beleidsregels meldplicht datalekken, te vinden op de website van de Autoriteit Persoonsgegevens, staan de gegevens die in de melding moeten zijn opgenomen.
U moet de melding zo spoedig mogelijk doen en zo mogelijk niet later dan 72 uur na ontdekking van het datalek.

Wat doet de Autoriteit Persoonsgevens met mijn melding van een datalek?

De Autoriteit Persoonsgegevens slaat de melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar. De Autoriteit Persoonsgegevens kan contact met u opnemen als er inhoudelijke vragen zijn over uw melding. Hebt u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de Autoriteit Persoonsgegevens u vragen om dat alsnog te doen. Een datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de Autoriteit Persoonsgegevens om een onderzoek te starten naar de naleving van de privacywetgeving.

Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?

Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens inhoudelijke vragen heeft over de melding.
In dat geval neemt de Autoriteit Persoonsgegevens binnen 1 tot 2 twee weken na ontvangst van uw melding contact met u op.

Wanneer legt de Autoriteit Persoonsgegevens een boete op?

De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal 820.000 euro. In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 staat hoe de Autoriteit Persoonsgegevens de hoogte van boetes bepaalt.


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *