Meldplicht datalekken: nieuwe richtlijnen gepubliceerd

Vandaag, op de Dag van de Privacy, informeren wij u graag over de nieuwe richtlijnen die de European Data Protection Board (hierna: EDPB) op 14 januari jl. heeft gepubliceerd  over de meldplicht bij een datalek. Volgens de EDPB is er behoefte aan een praktijkgerichte en op eigen ervaringen gebaseerde toelichting over hoe organisaties moeten handelen bij een datalek.

Hoe zat het ook alweer met de meldplicht bij een datalek?

Definitie datalek

Bij een datalek is sprake van een inbreuk in verband met persoonsgegevens (art. 4 lid 12 AVG). Een inbreuk op de beveiliging kan leiden tot vernietiging, verlies, wijziging van of ongeoorloofde toegang tot de persoonsgegevens. Of de persoonsgegevens nu opzettelijk worden gestolen (bijvoorbeeld door een hack) of per ongeluk verloren gaan omdat een werknemer zijn laptop verliest in de trein, maakt niet uit. Beide situaties kwalificeren als een inbreuk in verband met persoonsgegevens.

Het hangt af van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van de betrokkene(n) of de verwerkingsverantwoordelijke dit moet melden bij de Autoriteit Persoonsgegevens (hierna: de “AP”).

Er kunnen drie verschillende soorten datalekken worden onderscheiden:

• Inbreuk op de vertrouwelijkheid: als er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens;
• Inbreuk op de integriteit: wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens;
• Inbreuk op de beschikbaarheid: wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Afhankelijk van de omstandigheden kan een datalek in één of meer van deze drie categorieën vallen.

Wanneer melden?

Als sprake is van een datalek moet deze direct en waar mogelijk binnen 72 uur nadat het datalek is ontdekt, worden gemeld door de verwerkingsverantwoordelijke bij de AP (art. 33 AVG), tenzij de verwerkingsverantwoordelijke kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkene(n), dan hoeft deze niet te worden gemeld aan de AP.

Als de inbreuk waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen, bijvoorbeeld omdat iemand risico loopt op identiteitsfraude of financiële schade dan moet de verwerkingsverantwoordelijke niet alleen de AP informeren, maar ook de betrokkene(n) zo snel mogelijk op de hoogte brengen (art. 34 AVG).

De verwerkingsverantwoordelijke moet bij iedere inbreuk in verband met persoonsgegevens weer een risicobeoordeling maken en snel actie ondernemen nadat hij hierover op de hoogte is gebracht.

De verwerkingsverantwoordelijke is op grond van de AVG verplicht om elke inbreuk in verband met persoonsgegevens (datalek) te documenteren, of het risico nu hoog of laag is. Ook moet de verwerkingsverantwoordelijke te allen tijde voorzorgsmaatregelen treffen om inbreuken op persoonsgegevens zoveel mogelijk te voorkomen.

Voorbeelden EDPB

In de nieuwe richtlijnen komen verschillende praktijkvoorbeelden aan bod. Daarbij licht de EDPB toe welke factoren van belang zijn bij een risicobeoordeling en welke actie vervolgens moet worden ondernomen door de verwerkingsverantwoordelijke. Een aantal van deze voorbeelden kan wellicht relevant zijn voor de HR-praktijk.

De EDPB gaat bijvoorbeeld uitgebreid in op het voorkomen en beperken van verschillende soorten hacks of cyberaanvallen binnen organisaties. Ook andere situaties passeren de revue, zoals een (ex-)werknemer die contactgegevens van klanten uit de bedrijfsdatabase kopieert tijdens zijn opzegtermijn, welke hij maanden later gebruikt om klanten naar zijn nieuwe werkgever te lokken. Verder bespreekt de EDPB wat te doen bij diefstal van een papieren dossier met bijzondere persoonsgegevens of van de laptop van een werknemer. Ook besteedt de EDPB aandacht aan menselijke fouten, zoals verkeerd verzonden post of een HR-medewerker die per ongeluk een e-mail inclusief bijlagen met veel bijzondere persoonsgegevens naar een verkeerd e-mailadres stuurt.

Naast een praktische handleiding over hoe om te gaan met verschillende soorten datalekken doet het EDPB een aantal aanbevelingen voor voorzorgsmaatregelen die verwerkingsverantwoordelijken kunnen treffen ter voorkoming hiervan.

Heeft u intern te maken met een datalek en twijfelt u hoe hiermee om te gaan? Ons privacyteam helpt u graag verder!