Onlangs maakte de Autoriteit Persoonsgegevens (AP) bekend dat het in 2019
bijna 27.000 meldingen van een datalek heeft ontvangen. Dat is een stijging van 29% ten opzichte van 2018. Ook ontving de AP in 2019 25% meer datalekmeldingen naar aanleiding van hacking, phishing of malware-incidenten. Tijd voor een AVG update: hoe gaat u om met een datalek?
Wat opvalt aan de cijfers van het AP is de stijging van het aantal meldingen. Maar ook de stijging van het aantal meldingen als gevolg van hacking of phishing valt op. En hoewel op dit moment vooral veel grote organisaties die veel persoonsgegevens verwerken hiervan het slachtoffer lijken te worden, lopen toch ook veel kleinere organisatie gevaar. Bij deze organisaties is de beveiliging namelijk niet altijd goed op orde.
Uit de cijfers van de AP blijkt verder dat organisaties uit de financiële sector, de zorgsector en het openbaar bestuur al een aantal jaar de meeste datalekmeldingen doen. Nederland is, samen met Duitsland en het Verenigd Koninkrijk, koploper in het melden van datalekken. Dat wordt deels veroorzaakt door de vergevorderde digitalisering van de Nederlandse samenleving, waardoor het risico op datalekken ook groter is. Maar in Nederland lijken organisaties zich ook beter bewust van hun meldplicht dan in andere landen.
Toch worden nog niet alle meldplichtige datalekken bij de AP gemeld. In 2019 is de AP 28 onderzoeken gestart naar organisaties die (mogelijk) een datalek hadden moeten melden en dat niet (of te laat) hebben gedaan.
Op grond van de AVG is er sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Daarvoor is het overigens niet nodig dat die persoonsgegevens gehackt of gestolen zijn. Ook bij een verkeerd geadresseerde e-mail met persoonsgegevens of een verloren usb-stick is er sprake van een datalek.
De AP heeft op de website een stappenplan opgenomen met de stappen die u bij een datalek moet nemen. Een van die stappen is het melden van het datalek bij de AP. Op grond van de AVG bent u namelijk verplicht om ernstige datalekken zo snel mogelijk (uiterlijk binnen 72 uur) nadat u het datalek hebt ontdekt te melden. Dat kan via het meldloket datalekken. Ook zult u onder omstandigheden de betrokkenen over het datalek moeten informeren.
Bij de beoordeling of er sprake is van een meldplicht moet u het risico van het datalek inschatten. Daarbij moet u afwegen hoe waarschijnlijk het is dat een risico zich voordoet en wat de impact is als dat inderdaad gebeurt. Daarbij moet u de volgende factoren meewegen:
Om u inzicht te geven in het soort datalekken dat gemeld moet worden heeft de AP een voorbeeldlijst op de website opgenomen.
Een van de andere verplichtingen die u onder de AVG hebt, is het aanleggen van een register van alle datalekken die zich bij u voordoen. In dit register moet u ook de datalekken opnemen die u niet bij de AP hoeft te melden.
Om te waarborgen dat u en uw medewerkers bij een datalek direct weten wat er moet gebeuren, adviseren wij u een protocol datalekken op te stellen en te implementeren. Ook adviseren wij u om in uw verwerkersovereenkomsten duidelijke afspraken te maken over eventuele datalekken, voor het geval zich een datalek bij de verwerker voordoet. Op die manier kunt u bij een onverhoopt datalek de schade voor de betrokkenen en uzelf zo veel mogelijk beperken.
Bent u geconfronteerd met een datalek? Of heeft u een vraag over uw protocol datalekken? Of een andere vraag over de AVG? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.
Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.