Wanneer is sprake van een datalek?

Ik kraag laatst de volgende vraag:

“Ik moet toch alleen een datalek melden bij de Autoriteit Persoonsgegevens (AP) als er een laptop van ons bedrijf gestolen zou zijn? En in andere gevallen toch niet?”

Oef. Dat is een groot misverstand. Alle datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens. Dat is anders als het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dan hoef je geen melding te doen bij de AP.

Wat is een datalek ook alweer?
Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boos opzet in het spel is. Hoewel een hack van uw systemen waarbij persoonsgegevens worden buitgemaakt een schoolvoorbeeld is van een datalek, kunnen ook gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat ook kwalificeren als een datalek (bron:ap.nl). Dus het gaat niet alleen om een gestolen laptop. het gaat om meer. Toch is een gestolen laptop altijd een goed voorbeeld.

Maar …, als het goed is staan er geen persoonsgegevens op een (gestolen) laptop. Toch? Ja, zo zou het moeten zijn. Als je de Algemene Verordening gegevensbescherming (AVG of GDPR) naleeft en werkt aan je accountability, dan zouden alle laptops vrij moeten zijn van persoonsgegevens. Dat past helemaal bij de AVG-beginselen. Ik raad dus aan die laptops vrij te houden van persoonsgegevens. Ik raad ook aan een reglement voor personeel te hanteren om ze te bewegen de laptops daadwerkelijk vrij te houden van persoonsgegevens. De werkgever moet dit dan ook faciliteren door een ICT-systeem te hanteren waardoor personeel op afstand met de benodigde persoonsgegevens kan werken. Dan is in beginsel geen sprake van een datalek als de laptop dan gestolen wordt. Dus dan hoef je zelfs geen melding aan AP te doen.

Het wordt weer anders als de wachtwoorden opgeslagen zijn op die laptop, waardoor een derde eenvoudig toegang kan krijgen tot die persoonsgegevens die werkgever ter beschikking stelt. Als je kunt vaststellen dat die derde op die manier ongeoorloofde toegang tot persoonsgegevens heeft gehad, is wel sprake van een datalek. Dat moet dan wel gemeld worden aan de AP.

Als sprake is van een datalek moet het onmiddellijk gemeld worden en is het niet de bedoeling dat je de termijn van 72 uur afwacht om die melding te doen. De ervaring leert dat je die 72 uur hard nodig hebt om alles in kaart te brengen. Het begint eigenlijk met de vraag of het datalek gemeld moet worden. Dat blijkt in de praktijk vaak al een hele lastige een tijdrovende vraag. Het kost immers ook tijd een deskundige te raadplegen en om daarna te bepalen wat je gaat doen. Om kostbare tijd te besparen kun je het beste gebruik maken van een protocol datalekken.
Nog geen protocol in je bezit? Mail of bel ons voor een protocol.

Wij zijn er voor jou!