Inleiding Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen met zich mee ten opzichte van de oude Nederlandse Wetgeving. In de AVG is opgenomen hoe en bij wie een datalek gemeld moet worden. In dit draaiboek is opgenomen welke stappen genomen moeten worden op het moment dat sprake is van een Datalek. In grote lijnen zijn dit de volgende stappen: Schema 1
1. Een Datalek Een datalek wordt in de AVG ook wel omschreven als een inbreuk in verband met persoonsgegevens. Hierna zal dan ook gesproken worden over een inbreuk. De AVG geeft hiervoor de volgende omschrijving: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. In veel situaties zal dus sprake zijn van een datalek. Hieronder zijn enkele voorbeelden gegeven van situaties waarin sprake is van een inbreuk: diefstal van een laptop waarop persoonsgegevens staan. Ook een telefoon kan hieronder vallen; het laten liggen van een laptop of telefoon in de trein; een brand waarbij apparatuur, met daarop persoonsgegevens, verloren is gegaan; een geprinte lijst met daarop contactgegevens die gestolen of ingezien wordt; een telefoon die in de WC valt; een hack waarbij persoonsgegevens zijn gestolen. Naast bovenstaande situaties zijn nog tal van voorbeelden te bedenken van situaties waarbij een inbreuk wordt gemaakt in verband met persoonsgegevens. Op het moment dat de verwerker een inbreuk constateert moet de verwerker de verwerkingsverantwoordelijke op de hoogte brengen van deze inbreuk. Zie hierover ook onze Factsheet Verwerkersovereenkomst. 2. De Documentatieplicht Op het moment dat een inbreuk is geconstateerd verplicht de AVG de verwerkingsverantwoordelijke om dit te documenteren. Dit moet gedaan worden voor alle inbreuken waarbij persoonsgegevens betrokken zijn. De volgende zaken moeten worden gedocumenteerd; de feiten over de inbreuk;
wat zijn de gevolgen van het datalek; en welke maatregelen zijn getroffen om dit in de toekomst te voorkomen. De Autoriteit Persoonsgegevens (AP) kan om dit document vragen. Door middel van een dergelijk document kan de Autoriteit Persoonsgegevens controleren of voldaan is aan de verplichtingen die horen bij een Datalek. 3. De Meldplicht aan de Autoriteit Persoonsgegevens Als verwerkingsverantwoordelijke ben je verplicht om in bepaalde gevallen een inbreuk te melden aan de Autoriteit Persoonsgegevens. De AVG verplicht om een inbreuk te melden waarbij een risico is ontstaan voor de rechten en vrijheden van de betrokken personen. Wanneer precies sprake is van zo n risico wordt niet door de AVG uitgelegd. Het is dan ook op dit moment nog niet met zekerheid te zeggen wanneer zo n risico aanwezig is. Dit risico bestaat in ieder geval wanneer de schending kan leiden tot fysieke, materiële of immateriële schade voor de personen van wie de gegevens zijn geschonden. Wel kunnen een paar gevolgen worden onderscheiden waarbij hoogstwaarschijnlijk sprake is van zo n risico; Persoonsgegevens die kunnen leiden tot discriminatie; Hierbij kan het gaan om gegevens over godsdienst, ras, etniciteit en huidskleur van betrokken personen. Wanneer deze persoonsgegevens worden gelekt, kan dit nadelige gevolgen hebben op voor de betrokkene. Persoonsgegevens die gebruikt kunnen worden bij Identiteitsdiefstal / identiteitsfraude; Het gaat hierbij onder meer om biometrische gegevens en kopieën van identiteitsbewijzen. Ook hier zouden voor de betrokkene ernstige nadelige gevolgen kunnen hebben. Persoonsgegevens die kunnen leiden financieel verlies; Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens.
Persoonsgegevens die kunnen leiden reputatieschade; Het gaat hier om persoonsgegevens die de reputatie van de betrokkenen kunnen schaden. Denk hier bijvoorbeeld aan het lekken van persoonsgegevens over een eventuele verslaving van betrokkene, of over werk- of schoolprestaties. Een inbreuk waarbij bijzondere persoonsgegevens bij betrokken zijn. Wanneer de inbreuk betrekking heeft op persoonlijke gegevens die raciale of etnische afkomst, politieke overtuiging, religie of filosofische overtuiging of vakbondslidmaatschap onthullen, of die genetische gegevens, gegevens over gezondheid of gegevens over het seksleven, of strafrechtelijke veroordelingen en strafbare feiten of daarmee samenhangende veiligheidsmaatregelen omvatten, is sprake van een dergelijk risico. 4. De melding aan de Autoriteit Persoonsgegevens (AP) Is (waarschijnlijk) sprake van een risico voor de rechten van de betrokken personen? Dan moet je dit melden aan de AP. De melding moet minstens aan de volgende eisen voldoen: de melding moet zonder onredelijke vertraging worden gedaan; Op het moment dat je op de hoogte bent van de inbreuk moet deze melding, als dat mogelijk is, binnen uiterlijk 72 uur worden gedaan. Lukt dit niet binnen 72 uur? Dan moet je bij de melding uitleg geven over de vertraging. de aard van de inbreuk moet worden vermeld; Als het mogelijk is moet hier ook bij worden vermeld om welke categorieën van van betrokkenen het gaat en welke persoonsgegevensregisters / databanken het betreft. Als dat mogelijk is moet ook worden vermeld het aantal betrokkenen en registers dat bij de inbreuk betrokken is. Dit mag bij benadering zijn. de contactgegevens waarbij meer informatie kan worden verkregen; Heeft jouw organisatie een Functionaris voor Gegevensbescherming, dan kunnen de contactgegevens van deze persoon hier worden vermeld.
de (waarschijnlijke) gevolgen van de inbreuk; Het lijkt hier niet alleen te gaan om de eventuele nadelige gevolgen. Alle gevolgen lijken dus te moeten worden vermeld. de voorgestelde of getroffen maatregelen; De maatregelen die jullie willen gaan of hebben getroffen om een dergelijke inbreuk in de toekomst te voorkomen of aan te pakken moeten worden vermeld. Daarnaast moet ook worden vermeld, als dat mogelijk is, welke maatregelen zijn getroffen om de eventuele nadelige gevolgen te beperken. Is het voor jouw organisatie niet mogelijk om al deze informatie in één keer te verstrekken? Dan mag de informatie ook, zonder onredelijke vertraging, in stappen worden verstrekt. 5. De meldplicht aan de betrokken personen Wanneer een `hoog` risico is ontstaan voor de rechten van de betrokken personen moeten deze personen ook op de hoogte worden gebracht van de inbreuk. Op dit moment is nog niet duidelijk wanneer precies sprake is van een hoog risico. Het is te verwachten dat wanneer een melding moet worden gemaakt de Autoriteit Persoonsgegevens ook een melding moet worden gemaakt aan de betrokken personen. In de AVG zijn twee situaties opgenomen waarin geen melding hoeft te worden gedaan aan de betrokken personen: wanneer passende en organisatorische maatregelen zijn getroffen met betrekking tot de persoonsgegevens waarop een inbreuk is gemaakt., of; Dit is bijvoorbeeld het geval wanneer de persoonsgegevens onbegrijpelijk zijn gemaakt of versleuteld zijn. maatregelen zijn getroffen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen. Is het doen van een mededeling onmogelijk? Dan zal een openbare mededeling moeten worden gedaan waarbij de betrokkenen op doeltreffende wijze worden geïnformeerd over de inbreuk.
De Autoriteit Persoonsgegevens kan achteraf verplichten om een dergelijke mededeling te doen aan de betrokken personen of dat aan één van de uitzonderingsgevallen voldaan is. 6. De melding aan de betrokken personen De melding die gedaan moet worden aan de betrokken personen lijkt op die van de melding die gedaan moet worden aan de Autoriteit Persoonsgegevens. De volgende drie punten komen overeen: de contactgegevens waarbij meer informatie kan worden verkregen; Heeft jouw organisatie een Functionaris voor Gegevensbescherming, dan kunnen de contactgegevens van deze persoon hier worden vermeld. de (waarschijnlijke) gevolgen van de inbreuk; Het lijkt hier niet alleen te gaan om de eventuele nadelige gevolgen. Alle gevolgen lijken dus te moeten worden vermeld. de voorgestelde of getroffen maatregelen. De maatregelen die jullie willen gaan of hebben getroffen om een dergelijke inbreuk in de toekomst te voorkomen of aan te pakken moeten worden vermeld. Daarnaast moet ook worden vermeld, als dat mogelijk is, welke maatregelen zijn getroffen om de eventuele nadelige gevolgen te beperken. De aard van de inbreuk moet ook worden vermeld alleen is het bij deze vermelding zaak dat het in begrijpbare en eenvoudige taal gedaan wordt. Als uitgangspunt hiervoor zou je de volgende zaken kunnen opnemen in deze mededeling; een korte omschrijving van het lek en wat met de gegevens is gebeurd; zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd? Meer informatie? Raadpleeg dan onze website. Heb je een vraag? Dan kun je altijd contact met ons opnemen via: info@juridischehulponline.nl. Behoefte aan meer factsheets of een document dat je helpt bij het AVG proof worden zoals een Privacy Verklaring of een Verwerkingsregister? Zie dan onze site.
Definities Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt.