Veelgestelde vragen en antwoorden over datalekken

10-01-2019

Wist je dat de leverancier in zijn rol als verwerker ‘inbreuken op de beveiliging’ moet melden bij de verwerkingsverantwoordelijke (de klant) en niet bij de Autoriteit Persoonsgegevens? En wist je dat niet alle datalekken bij de Autoriteit Persoonsgegevens hoeven te worden gemeld? De verwerkingsverantwoordelijke moet een register bijhouden van alle meldingen en beoordelen of er ook een externe melding gedaan moet worden aan de Autoriteit Persoonsgegevens of aan personen die bij het datalek betrokken zijn. Maar hoe weet je wat je wanneer en aan wie moet melden? En wat je daarvoor moet regelen? Nederland ICT heeft een paar handige tools in de Avg Toolkit. Zowel een voorbeeld datalekkenprotocol voor de verwerkingsverantwoordelijke als een voorbeeld datalekkenprotocol voor de verwerker. We hebben een aantal veelgestelde vragen over datalekken voor je op een rijtje gezet:

WAT IS EEN DATALEK?

De term ‘datalek’ staat niet in de privacywet (Avg). De Avg heeft het over een ‘inbreuk in verband met persoonsgegevens’. Volgens de definitie in de Avg wordt hiermee bedoeld:
“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Voor het gemak spreken we hierna van ‘datalek’. Er is dus sprake van een datalek als er onbedoeld persoonsgegevens zijn vernietigd, kwijtgeraakt, veranderd of verstrekt. Ook is sprake van een datalek als er ‘ongeoorloofde toegang is geweest tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’ (denk aan onbedoelde inzage door iemand die daartoe niet gemachtigd was). Daarbij maakt het dus niet uit of dit per ongeluk of expres is gebeurd.

Voorbeelden van datalekken zijn volgens de AP:
Het verlies van een USB-stick met niet-versleutelde persoonsgegevens.
Een cyberaanval waarbij persoonsgegevens zijn buitgemaakt.
Een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

AAN WIE MOET JE EEN DATALEK MELDEN?

Niet ieder datalek hoeft altijd gemeld te worden, soms is vastleggen ervan voldoende. Er zijn drie partijen aan wie een datalek gemeld kan moeten worden:
De klant (de opdrachtgever in zijn rol als verwerkingsverantwoordelijke).
De Autoriteit Persoonsgegevens (de AP).
De personen over wie gelekte gegevens informatie bevatten (de Betrokkene(n)).

Óf een datalek gemeld moet worden en zo ja aan wie van bovenstaande partijen, hangt af van de omstandigheden.

AAN WIE MOET JE EEN DATALEK MELDEN ALS VERWERKER?

Als leverancier hoef je in je rol als verwerker (doe de quickscan om te zien of je verwerker bent) nooit te melden aan de AP of aan Betrokkenen. Wél moet je melden aan de  verwerkingsverantwoordelijke (je klant) conform wat je daarover hebt afgesproken in je verwerkersovereenkomst. Heb je nog geen verwerkersovereenkomst? Lees er hier meer over en/of bestel of download onze voorbeeld verwerkersovereenkomst hier.

Het is belangrijk om niet alleen te denken aan het melden, maar ook aan het beperken van de schade (lek dichten) en het voorkomen van herhaling. Maak daarbij gebruik van een datalekkenprotocol, zoals het voorbeeld datalekkenprotocol voor verwerkers in de Avg Toolkit.
 

Meer informatie