Datalekken, wat betekent het voor u?

Welke informatie moet beschermd worden? 

Onlangs werd bekend dat gevoelige stukken uit de Rechtbank van Amsterdam zouden zijn gelekt. Het betrof een groot aantal gevoelige stukken over lopende zaken, die door bouwvakkers uit het oud vuil zijn gevist.

Welke informatie moet beschermd worden? 

Wanneer wordt gesproken van datalekken, dan wordt het lekken van persoonsgegevens bedoeld. Persoonsgegevens zijn gegevens die betrekking hebben op een identificeerbare natuurlijke persoon. Voorbeelden van persoonsgegevens zijn:

• kopien van paspoort of ID-kaart;
• loonstrookjes;
• medisch dossier;
• bankafschriften;
• strafdossiers;
• klantenbestand van een onderneming.

Gegevens die betrekking hebben op rechtspersonen (zoals bedrijven) zijn in principe geen persoonsgegevens in de zin van de wet. Bedrijfsgegevens kunnen echter wel in tweede instantie betrekking hebben op natuurlijke personen, vraag derhalve bij enige twijfel altijd advies van een specialist.

Wie is wie bij datalekken?

Het privacyrecht maakt onderscheid tussen:

1. Betrokkene;
2. Verantwoordelijke;
3. Bewerker/Verwerker.

De Betrokkene is de natuurlijke persoon waar de persoonsgegevens betrekking op hebben.

De Verantwoordelijke is de persoon of organisatie die bepaalt wat er met de persoonsgegevens gebeurt (hoe en waarom de persoonsgegevens worden verwerkt). Als X (Betrokkene) zijn kopie-paspoort (persoonsgegevens) inlevert bij de bank om een rekening te openen, dan is de bank de Verantwoordelijke, aangezien de bank beslist wat er  met het kopie-paspoort van X gebeurt (of de kopie wordt opgeslagen, vernietigd, doorgestuurd etc.).

De Bewerker of Verwerker is een persoon of organisatie die los staat van de Verantwoordelijke, maar die in opdracht en ten behoeve van de Verantwoordelijke bepaalde handelingen verricht met persoonsgegevens. Als de bank (Verantwoordelijke) het kopie-paspoort (persoonsgegevens) van X (Betrokkene) doorstuurt naar, bijvoorbeeld, Safecheck B.V. voor analyse, dan is Safecheck B.V. de Bewerker/Verwerker. Safecheck B.V. analyseert de paspoortkopie namelijk ten behoeve van de bank en met inachtneming van de instructies van de bank. 

Wanneer is er sprake van een datalek?

Vanzelfsprekend is sprake van een datalek als persoonsgegevens op straat komen te liggen, zoals bij verlies of diefstal van persoonsgegevens.

Echter, ook indien persoonsgegevens onbedoeld zonder back-up worden gewist, is sprake van een datalek. Verder kan er ook van een datalek worden gesproken als de mogelijkheid niet kan worden uitgesloten dat persoonsgegevens aan onrechtmatige verwerking hebben blootgestaan. 

Een ander niet zo vanzelfsprekend voorbeeld is een brand, waarbij papieren dossiers samen met de digitale files (op de lokale schijven van aanwezige computers of servers) in vlammen opgaan. De persoonsgegevens zijn ongewild vernietigd zonder back-up, hetgeen een datalek inhoudt.

Wanneer moet een datalek gemeld worden?

Een datalek moet gemeld worden als persoonsgegevens van gevoelige aard zijn gelekt. Het kan hier bijvoorbeeld gaan om informatie over iemands ras, politieke voorkeur of gezondheid. Een datalek moet tevens worden gemeld indien het lekken van de persoonsgegevens voor de Betrokkene ernstig nadelige gevolgen zou kunnen hebben. Denk hierbij aan het lekken van financile gegevens of gegevens die zouden kunnen worden gebruikt voor identiteitsfraude. De beslissing of melding noodzakelijk is, kunt u bij twijfel het beste door een specialist laten checken, te meer nu de sanctie zeer ingrijpend kan zijn.

Wie moet melden, binnen welke termijn en wat is de sanctie als u niet (tijdig) meldt?

De Verantwoordelijke (in ons voorbeeld: de bank) moet zorgdragen voor tijdige melding. Een melding is tijdig indien deze binnen 72 uur na ontdekking van het datalek is gedaan. Het is daarom van groot belang dat een Verantwoordelijke goede afspraken maakt met zijn Bewerkers. Het schriftelijk vastleggen van de wederzijdse verplichtingen tussen Verantwoordelijke en Bewerker is een wettelijke verplichting. Het is van groot belang dat een aantal bepalingen rond de meldplicht worden opgenomen. Win hierover altijd advies in van een deskundige. De sanctie op het niet c.q. niet tijdige nakomen van de meldplicht kan een boete opleveren die kan oplopen tot 820.000,- per lek!

Waar moet u melden?

Wanneer sprake is van een meldplichtig datalek moet altijd melding worden gemaakt bij de Autoriteit Persoonsgegevens (AP). De AP is een bestuursorgaan dat toeziet op de naleving van de wet- en regelgeving omtrent privacy en databescherming. De AP heeft gespecialiseerde meldingsformulieren voor het online melden van een datalek. Een melding aan de AP moet zo snel als mogelijk na ontdekking van het datalek worden gedaan. De maximale tijd tussen ontdekking en melding bedraagt 72 uur. Let op: dit zijn geen werkuren, maar gewone uren! Wie op donderdagochtend om 09.00 uur een datalek ontdekt, zal uiterlijk zondagochtend om 08.59 gemeld moeten hebben. 

In sommige gevallen moet een datalek naast aan de AP óók aan de Betrokkene worden gemeld. Dit is het geval wanneer een datalek ernstige gevolgen kan hebben voor onder meer de financile positie, identiteit of goed naam van de Betrokkene. Laat u in voorkomend geval altijd adviseren door een specialist.

Een van de specialisten op het gebied van privacy en datalekken is Certafin, dat 365 dagen per jaar, 24/7 bereikbaar is. Vink & Partners Legal and Tax brengt u uiteraard graag met Certafin in contact en adviseert u gaarne bij al uw vragen.