Stap 10. Datalek
Wat moet ik doen als ik een datalek heb?
Als je een datalek hebt krijg je te maken met de regels voor datalekken. Kort gezegd schrijven deze regels voor dat je datalekken:
- Altijd intern moet documenteren. Daarvoor hebben we een model Datalekregister ontwikkeld.
- Moet melden aan de Autoriteit Persoonsgegevens bij aanzienlijke kans op ernstige nadelige gevolgen
- Moet melden aan de Betrokkenen als het waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer. Voor de financiële sector is er een uitzondering voor de melding aan Betrokkenen. Melding aan de Betrokkenen is niet verplicht op grond van de privacy-regels. Reden hiervoor is dat een melding tot ongewenste effecten kan leiden (o.a. bankrun).
Als het onwaarschijnlijk is dat de inbreuk een risico voor de betrokkenen met zich mee zal brengen hoef je dus niet te melden (maar wel intern documenteren!).
Let op! Als sprake is van een incident volgens de Wft moet je ook melding doen bij de AFM.
Wat is een datalek?
Een datalek is kort gezegd een inbreuk op de beveiliging waarbij persoonsgegevens (per ongeluk of opzettelijk) verloren zijn gegaan, ongeoorloofd zijn gewijzigd, verstrekt, ingezien of toegankelijk gemaakt. Kortom: als gevolg van een datalek komen persoonsgegevens waar ze niet horen te zijn.
Voorbeelden van een datalek:
- Diefstal van een laptop met daarop versleutelde persoonsgegevens
- Verlies van een usb-stick met onversleutelde persoonsgegevens
- Creditcardbetalingsgegevens worden per ongeluk niet versnipperd maar in de vuilnisbak gegooid
- Persoonsgegevens zijn buitgemaakt bij een hack;
- Persoonsgegevens worden per ongeluk verzonden naar een verkeerd mailadres.
Wat moet ik intern vastleggen?
Ieder datalek moet worden gedocumenteerd (bijvoorbeeld in ons model Datalekregister), ook datalekken die niet aan de toezichthouder hoeven te worden gemeld. Je moet het volgende vastleggen:
- Feiten over het lek:
- een korte omschrijving van het lek;
- wanneer het plaatsvond;
- wat er met de gegevens is gebeurd (zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd?);
- van welke groep(en) personen er gegevens gelekt zijn, en om hoeveel personen het gaat;
- om welke soorten gegevens het gaat.
- de (mogelijke) gevolgen van de inbreuk (bijvoorbeeld een risico op identiteitsfraude of reputatieschade);
- de maatregelen die zijn genomen naar aanleiding van het lek. Welke actie is ondernomen om schade te voorkomen of zo veel mogelijk te beperken (bijvoorbeeld het op afstand wissen van gegevens, of het wijzigen van wachtwoorden)? Maar ook: wat heb je gedaan om te zorgen dat het niet nog een keer kan gebeuren?
Het doel van registratie is ervan te leren om datalekken in de toekomst zoveel mogelijk te voorkomen. Een doel is ook aan de toezichthouder te tonen dat datalekken worden gemonitord en door interventies worden opgevolgd. De informatie kan worden opgevraagd door de toezichthouder om te controleren of datalekken inderdaad adequaat worden gemonitord en opgevolgd.
Wat moet ik melden?
Als er een datalek heeft plaatsgevonden moet je dit zonder onredelijke vertraging melden aan de toezichthouder. Zo mogelijk moet de melding uiterlijk binnen 72 uur doen nadat je kennis hebt gekregen van het lek.
Als je nog niet alle kennis over het lek boven tafel hebt, mag je volstaan met een incomplete melding. Je meldt dat er een lek heeft plaatsgevonden en de overige verplicht te verstrekken informatie verstrek je alsnog zo spoedig mogelijk (gefaseerd) aan de toezichthouder.
Als er een Functionaris Gegevensbescherming is doet deze de melding van een datalek.
De toezichthouder heeft een standaardformulier beschikbaar voor het melden van een datalek. Wanneer je een datalek aan de toezichthouder meldt moet je een overzicht ervan bewaren in je eigen administratie. Je kunt het standaardformulier hier bekijken om een indruk te krijgen van het soort informatie dat je moet doorgeven.
Datalek bij verwerker
Een verwerker moet ervoor zorgen dat je als verwerkersverantwoordelijke een datalek tijdig bij de toezichthouder kan melden. Als er zich bij een verwerker een datalek heeft voorgedaan is hij verplicht dit bij jou als verwerkingsverantwoordelijke te melden. Als het datalek een hoog risico heeft voor betrokkenen moet je, zo mogelijk binnen 72 uur, een melding bij de toezichthouder doen.
Wat doet de toezichthouder met de melding?
De toezichthouder kan een onderzoek instellen bij de financieel adviseur als verwerkingsverantwoordelijke of zijn verwerker(s) bij een vermoedelijke overtreding van de regelgeving.