Datalek? Melden bij AP of niet?

Datalek of niet?

Onlangs werd ik gebeld door een klant van me met de mededeling dat hij per ongeluk een mail naar een verkeerde persoon gestuurd had met een toegangscode tot een bestand met een hele lijst met persoonsgegevens. Stress natuurlijk. Dat was niet de bedoeling. De toegangscode werd meteen onbruikbaar gemaakt, zodat die derde-persoon geen toegang meer tot de persoonsgegevens had.

Melden bij AP?
De vraag werd mij gesteld of een melding datalek bij de Autoriteit Persoonsgegevens gedaan moest worden in het kader van de Algemene Verordening Gegevensbescherming (AVG). Hoe zit dat?

Eerst moet vastgesteld worden of sprake is van een datalek in de zin de Algemene Verordening Gegevensbescherming (AVG).
Hoewel de toegang tot de persoonsgegevens onmiddellijk na ontdekking is afgesloten voor die derde-persoon, blijft het feit staan dat er op enig moment sprake was van ongeoorloofde toegang tot persoonsgegevens. Aangezien hier de derde-persoon de toegangscode wel heel even gebruikt had (en dus op dat moment pas ontdekte dat sprake was van ongeoorloofde toegang), is sprake van een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot opgeslagen of anderszins verwerkte persoonsgegevens. Dit is aan te merken als een datalek in de zin van de AVG.

Het moet natuurlijk wel gaan om een daadwerkelijk incident en niet om de dreiging van een incident. Bij een daadwerkelijk incident is dus sprake van een datalek. De hoofdregel is dat dit datalek gemeld moeten worden bij de AP.

De Autoriteit Persoonsgegevens raadt ook zelf aan de melding altijd bij haar te doen en deze zo mogelijk later in te trekken als later uit onderzoek blijkt dat de melding niet nodig was. Je kunt dus de melding doen en dan later kijken of het echt nodig was die melding te handhaven.

Het onderzoek moet dan onder meer zien op het feit of echt sprake was van een beveiligingsincident en niet alleen sprake was van een dreiging van een beveiligingsincident. Ook moet onderzocht worden of uit te sluiten valt dat de persoonsgegevens onrechtmatig verwerkt zijn door een derde-persoon.

Kortom, het is dus het beste de melding te doen bij de AP en dan te onderzoeken of de melding ingetrokken kan worden, maar ook of de betrokkenen geïnformeerd moeten worden. De melding dient onverwijld te geschieden, doch uiterlijk binnen 72 uur na ontdekking van het incident.

De melding moet gedaan worden via de website, zie de volgende link: https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?1

Tevens is het verstandig het incident ook in het incidentenregister van de Verwerkingsverantwoordelijke te vermelden. Vermeld daarbij ook dat je er intern iets mee gedaan hebt (bijvoorbeeld door nieuwe technische maatregelen of bijvoorbeeld door de procedures in de organisatie aan te scherpen).

Al met al veel stress dus. Was dat echt nodig? Nee, in dit geval eigenlijk niet. Waarom dan zo veel stress? Dat kwam omdat er bij die klant onduidelijk was of het wel een datalek was, maar vooral of het gemeld moest worden bij de AP en of het ook gemeld moest worden bij alle betrokkenen.

Dat kan voorkomen worden door een protocol datalekken te hanteren. Aan de hand van dat protocol kun je relatief eenvoudig vaststellen – in een aantal stappen – of sprake is (geweest) van een datalek en of het gemeld moet worden bij de AP en bij betrokkenen. Dat scheelt tijd en vooral veel stress.

Mijn advies is dus altijd een helder en duidelijk protocol datalekken te hanteren. En natuurlijk een goedbedoeld advies voor iedereen: voortaan bij het verzenden van persoonsgegevens of een toegangscode tot een bestand met persoonsgegevens altijd goed checken (en dubbel checken) of het bericht aan de juiste persoon gestuurd wordt. En in het algemeen: liever geen persoonsgegevens verstrekken per e-mail, maar alleen een toegangscode verstrekken (aan de juiste persoon!).

Een datalek zit in een klein hoekje. En melden bij de AP is het devies.
Ps: een protocol datalekken koop je bij ons al voor 250 euro ex btw!