Datalekken: voorkomen beter dan genezen

0

Sinds 1 januari 2016 geldt een meldplicht voor datalekken. Per die datum is namelijk de Wet bescherming persoonsgegevens (Wbp) gewijzigd en zijn verantwoordelijken[1] verplicht datalekken te melden aan de toezichthouder en aan betrokkenen[2]. Gedurende de eerste week van januari zijn twintig datalekken gemeld.

Er zijn al meerdere bijdragen op JuridischActueel over de melkplicht datalekken geplaatst[3]. Dat toont aan dat het onderwerp in de belangstelling staat. Tevens is duidelijk dat toelichting op privacyregels gewenst is. Dat is begrijpelijk: de regels zijn complex en de Wbp gaat er van uit dat verantwoordelijken zelf nagaan of hun gedrag in overeenstemming is met de wet (vergelijkbaar met de Mededingingswet). De beleidsregels die op 8 december 2015 zijn gepubliceerd[4] helpen verantwoordelijken dat te doen. De toezichthouder (de Autoriteit persoonsgegevens, hierna: ‘de Autoriteit’)[5], hanteert op haar beurt de regels als uitgangspunt bij haar toezicht. Hierna ga ik in op de vraag wat een datalek is, wanneer melden moet, bij wie en door wie, hoe je moet melden en welke voorbereiding mogelijk is.

Bij een datalek is er een inbreuk op de beveiliging

De wet omschrijft een datalek als een inbreuk op de beveiliging van persoonsgegevens, waardoor deze (1) kans lopen blootgesteld te worden aan verlies of onrechtmatige verwerking en (2) niet redelijkerwijze uit te sluiten valt dàt sprake is van verlies of onrechtmatige verwerking. Hieruit blijkt dat het bijvoorbeeld niet uitmaakt of er ook schade is. Er zijn grofweg drie categorieën datalekken:

 1. Verlies van gegevens: een laptop in de trein laten liggen of een USB stick vergeten. Zonder back-up is er sprake van een datalek.
 2. Een intern lek: een (voormalig) personeelslid speelt opzettelijk persoonsgegevens door.
 3. Een extern lek: verschillende vormen van cybercriminaliteit, bijvoorbeeld een malware aanval.

Aard en omvang van de verwerking bepalen de meldingsplicht

Melding aan de Autoriteit is verplicht bij datalekken met (een aanzienlijke kans op) ernstig nadelige gevolgen voor de bescherming van persoonsgegevens. Omvang en aard van de verwerking bepalen dat. Voor de overheid is melding van datalekken meestal verplicht omdat sprake is van omvangrijke verwerkingen van persoonsgegevens. Een lek van gevoelige gegevens, gezondheidsgegevens bijvoorbeeld, moet altijd gemeld worden. Een lek van inloggegevens waarschijnlijk ook. Hierdoor kan zelfs een lek van gegevens van slechts één betrokkene al meldingsplichtig zijn.

De verantwoordelijke moet melden

De verantwoordelijke moet de meldingsplicht naleven, ook als bij de verwerking een bewerker is ingeschakeld. De bewerker mag overigens de melding wel doen, waarbij de verantwoordelijke deze melding nog kan aanvullen of intrekken.

Met een formulier en binnen 72 uur

De Autoriteit heeft een meldingsformulier gemaakt, maar het gebruik ervan is niet verplicht. De melding moet ‘onverwijld’ plaatsvinden en dat is volgens de beleidsregels (in beginsel) binnen 72 uur. Er is dus tijd voor nader onderzoek.

Melding aan betrokkene vraagt een aparte beoordeling

Melding aan betrokkene is verplicht als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer. Bijvoorbeeld als door het datalek bepaalde informatie niet tijdig beschikbaar komt. Een voorbeeld is diefstal van een laptop van een financieel adviseur, waardoor een tijdige hypotheekaanvraag niet mogelijk is. In de volgende gevallen is echter melding aan betrokkene niet verplicht:

 • De gegevens zijn adequaat versleuteld, op het moment van het lek.
 • De gegevens zijn door encryptie ontoegankelijk.
 • Er zijn zwaarwegende redenen om niet te melden.
 • Als de verantwoordelijke een financiële onderneming is[6].

Overigens is dan wel melding bij de toezichthouder verplicht. Melding aan betrokkene moet eveneens ‘onverwijld’, waarbij het belang van betrokkene bepaalt wat dat concreet is. Zo kan melding tijdens een onderzoek naar het lek verplicht zijn, als betrokkene zelf maatregelen kan nemen om schade te beperken.

De melding omvat informatie over de aard van de inbreuk, waar betrokkene informatie kan krijgen en welke maatregelen zijn getroffen om het lek te dichten of schade te beperken. Daarnaast geeft de melding informatie over wat men zelf kan doen om de gevolgen van het lek te beperken (zoals een wachtwoord wijzigen). De omvang van het lek bepaalt de meldingswijze. Zo is het toegestaan bij een omvangrijk datalek een e-mail aan betrokkenen te sturen, met een verwijzing naar informatie op de website en een telefoonnummer voor meer informatie. Belangrijk is dat de informatie betrokkene redelijkerwijze bereikt.

Niet melden, toch registreren

Een datalek waarbij melding niet nodig is, moet wel  geregistreerd worden. Hiermee kun je zo nodig aantonen dat de is nageleefd. De beleidsregels werken deze plicht uit en bevatten een beslismodel voor de bewaartermijn (grofweg tussen 1-3 jaar).

Tot slot

Schending van de regels kan leiden tot een boete van maximaal EUR 820.000. In de meeste gevallen kan de toezichthouder echter pas een boete opleggen, nadat een aanwijzing is gegeven. Een aanwijzing lijkt op een last onder dwangsom. D.w.z. de regels worden eerst concreet gemaakt, zodat de verantwoordelijke weet hoe hij in dit geval de regels moet naleven. Maar een beperkt boeterisico sluit uiteraard reputatieschade niet uit. Deze kan groot zijn.

In alle gevallen is voorkomen natuurlijk beter dan genezen. Anders gezegd, zorg ervoor dat de beveiliging van de gegevensverwerking op orde is. Zorg voor backups. En wees voorbereid voor de situatie dat er toch een lek ontstaat.

Een goede voorbereiding omvat afspraken over de volgende onderwerpen:

 • Maak een checklist met te onderzoeken zaken. Wie het onderzoek uitvoert en wie daarover aan wie communiceert. Denk aan: Bestuur, Raad van Toezicht, Afdeling Communicatie, Juridische Zaken.
 • Beslis wie de externe melding bij de Autoriteit coördineert.
 • Beleid over de wijze waarop betrokkenen worden geïnformeerd: telefoonnummer, advertentie, anders (onder meer afhankelijk van de omvang en gevoeligheid van de registratie).
 • Bepaal hoe je wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken.
 • Controleer of de afspraken met bewerkers up-to-date zijn en leg zo nodig vast dat de bewerker tijdig datalekken meldt, aan wie en met welke informatie. Ga na of de bewerker de beveiliging op orde heeft.

Met deze maatregelen zijn datalekken niet uitgesloten, maar wordt de kans op reputatieschade en een boete wel kleiner.

 

[1] Degenen die persoonsgegevens verwerken.

[2] Degenen waarvan persoonsgegevens worden verwerkt.

[3] Bijvoorbeeld Datalekken, welke stappen ondernemen na ontdekking, 17 december 2015 en Meldplicht Datalekken 16 januari 2015.

[4] Zie www.autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken

[5] Voorheen College bescherming persoonsgegevens.

[6] Melding moet eventueel wel op grond van de zorgplicht op basis van de Wet op het financieel toezicht.

Deel via:

Over de AUTEUR

Monique Ravoo

Adviseur en Interim Manager (Juridisch) advies en implementatie. Juridische zorg op maat voor organisaties in de zorg- of welzijnsector.

Reageren is niet mogelijk.