Datalekken halen steeds vaker het nieuws. Of het nou gaat om inzage in een medisch dossier van een bekende Nederlander, een grootschalige ransomware-aanval of het bemachtigen van persoonsgegevens van miljoenen autobezitters. Datalekken zijn erg vervelend, niet alleen voor de betrokkenen maar ook voor de organisatie die te maken heeft met een datalek. Denk eens aan de reputatieschade wanneer jouw bedrijf slecht in het nieuws komt. Je kunt er niets meer aan veranderen, het datalek heeft al plaatsgevonden, maar hoe zorg je ervoor dat het datalek netjes wordt afgehandeld?

Verwerkingsverantwoordelijke vs. verwerker

De eerste vraag is: “Wie ben ik?”. De Algemene verordening gegevensbescherming (AVG) maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. De naam zegt het eigenlijk al, de verwerkingsverantwoordelijke is verantwoordelijk. Deze partij bepaalt het doel (bijvoorbeeld het versturen van nieuwsbrieven) en het middel (de inzet van een programma dat een grote bulk aan nieuwsbrieven kan versturen). Gaat er iets mis, zoals alle e-mailadressen worden buit gemaakt door een hacker want de e-mailadressen waren niet goed beveiligd door de verwerker, dan moet er adequaat gehandeld worden. De verwerker die in opdracht van de verwerkingsverantwoordelijke nieuwsbrieven verstuurt, zal zo snel mogelijk de verwerkingsverantwoordelijke moeten inlichten, want zoals gezegd: de verwerkingsverantwoordelijke is verantwoordelijk.

Melden aan Autoriteit Persoonsgegevens en betrokkenen

De volgende vraag is: “Moeten we het datalek melden aan de Autoriteit Persoonsgegevens?”. De verwerkingsverantwoordelijke moet bepalen of het datalek een risico vormt voor de betrokkene. Is dat het geval, dan zal de verwerkingsverantwoordelijke het datalek moeten melden aan de Autoriteit Persoonsgegevens. Om te bepalen of een datalek een risico is voor de betrokkene, zal gekeken moeten worden naar welke persoonsgegevens er zijn gelekt. Gaat het bijvoorbeeld om financiële gegevens of misschien wel gezondheidsgegevens?

Als de conclusie is dat het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens, dan is daarmee de kous nog niet af. De verwerkingsverantwoordelijke zal ook een afweging moeten maken of het datalek gemeld moet worden aan de betrokkene(n). Dat is verplicht wanneer het datalek een hoog risico met zich meebrengt. Kan het datalek bijvoorbeeld leiden tot discriminatie omdat er persoonsgegevens over ras of seksuele geaardheid zijn gelekt? Of misschien wel identiteitsdiefstal omdat een kopie van het paspoort in handen van onbevoegden terecht is gekomen?

Datalekregister  

Tot slot moet de administratie bijgewerkt worden. In de AVG staat dat de verwerkingsverantwoordelijke alle datalekken moet documenteren. Het is gebruikelijk om datalekken op te nemen in een datalekregister. Zo heb je een overzicht van wat er is gebeurd en welke stappen vervolgens zijn ondernomen. In het Privacy Verified portaal kun je op eenvoudige wijze alle datalekken bijhouden. Ben je geïnteresseerd, of heb je hier vragen over? Dan kun je uiteraard contact met ons opnemen!