Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het datalek melden aan de betrokkenen? Je leest het in deze blog.

Ook de gemeentelijke organisaties krijgen te maken met een datalek. Sommige datalekken zijn zo klein en veroorzaken (bijna) geen schade. Andere datalekken kunnen daarentegen ernstige gevolgen hebben voor de betrokkenen, zoals identiteitsfraude. Als gemeente ben je verplicht om de schade zoveel mogelijk te beperken zodra je op de hoogte bent van een datalek. In sommige gevallen moet je het datalek melden bij de Autoriteit Persoonsgegevens (AP) en de betrokkenen op de hoogte stellen. In de praktijk merk ik dat gemeenten het eng vinden om datalekken te melden bij de AP. Anderzijds melden ze soms juist alle datalekken uit angst dat ze dit hadden moeten doen, zelfs als het niet nodig is. Hetzelfde geldt voor het informeren van de betrokkenen, wat niet altijd nodig is. Dit hangt namelijk af van het risico. Daarom zet ik in deze blog de verplichtingen met betrekking tot het melden van een datalek nog eens op een rij.

Wanneer is er sprake van een datalek?

Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of delen van persoonsgegevens als gevolg van zo’n inbreuk wordt gezien als een datalek. Een bekend voorbeeld van een datalek is een cyberaanval waarbij persoonsgegevens worden gestolen. Maar ook het verliezen van een USB-stick met daarop niet-versleutelde persoonsgegevens of het per ongeluk versturen van persoonsgegevens naar een verkeerde ontvanger, zijn voorbeelden van een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.

Datalek wel of niet melden bij AP?

Of je een datalek moet melden bij de AP hangt af van de (mogelijke) impact ervan op de betrokkenen. Om dit te beoordelen, is het belangrijk om een goed overzicht te hebben van de situatie. Wat is er precies gebeurd? Welke persoonsgegevens zijn gelekt? Wat is de omvang van het datalek? Wie heeft mogelijk toegang gehad tot de gelekte gegevens? Wat is de (potentiële) impact op de bescherming van persoonsgegevens en de privacy van de betrokkenen? Zorg ook altijd dat je direct maatregelen neemt om verdere schade te voorkomen. Op basis van het overzicht kun je beslissen of je het datalek moet melden bij de AP of niet. De Functionaris Gegevensbescherming (FG) en de gemeentesecretaris hebben hier ook een verantwoordelijkheid in, met name wanneer er besloten wordt om een datalek niet te melden. De FG kan in dat geval advies geven. Twijfel je of het datalek gemeld moet worden? Volg in dat geval het advies op van de FG.

Als je kunt aantonen dat je voldoende beveiligingsmaatregelen hebt genomen voordat het datalek plaatsvond (zoals versleuteling van gegevens waarbij de sleutel niet is gelekt) of dat de onjuiste ontvanger betrouwbaar is (bijvoorbeeld zakelijke partners of partijen die een wettelijk beroepsgeheim hebben), is het mogelijk niet nodig om het datalek te melden bij de AP. Maar let op, dit hangt af van het risico dat de betrokkenen loopt.

Wanneer moet je het datalek melden bij de AP?

Wanneer het datalek gemeld moet worden bij de AP, moet je dit binnen 72 uur doen. Je doet dit via het Meldloket datalekken van de AP. Hier kun je een datalek melden, maar ook een bestaande melding aanpassen of intrekken. Hoe je een melding doet, lees je in onze eerdere blog ‘Datalek melden bij de AP? Volg dan de volgende stappen!’.

Welke informatie moet ik verstrekken bij het melden van een datalek?

Bij het melden van een datalek aan de AP moet je in ieder geval de volgende informatie verstrekken:

• De aard en omvang van de inbreuk.
• Indien mogelijk de categorieën van betrokkenen, de persoonsgegevensregisters die zijn getroffen en een schatting van het aantal betrokkenen en persoonsgegevensregisters.
• De naam en de contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen.
• De waarschijnlijke gevolgen van de inbreuk met betrekking tot de persoonsgegevens.

Betrokkenen wel of niet informeren over datalek?

Als na een datalek persoonsgegevens (mogelijk) in handen van criminelen terechtkomen, kan dit ernstige gevolgen hebben. Zo kunnen criminelen persoonsgegevens bijvoorbeeld gebruiken voor identiteitsfraude, waarbij ze aankopen doen op naam van iemand anders, of leningen en telefoonabonnement afsluiten. In dat geval moet je betrokkenen hierover informeren. Als organisatie beoordeel je dit risico zelf. Dit doe je door na te gaan of er een risico bestaat dat kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen:

• Fysieke schade: bijvoorbeeld het wissen van medische gegevens waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg kan ontvangen. Of het schenden van het beroepsgeheim.
• Materiële schade: er bestaat een kans dat iemand online aankopen kan doen op kosten van iemand anders. Of andere vormen van financieel verlies of identiteitsdiefstal of -fraude.
• Immateriële schade: er bestaat een kans op discriminatie, reputatieschade of inbreuk op iemands privacy.

Zijn de risico’s van het datalek hoog? Dan moet je de slachtoffers zo snel mogelijk informeren. De belangrijkste doelen hiervan zijn dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd en dat zij weten wat zij kunnen doen om zichzelf te beschermen. 

Welke informatie moet ik verstrekken bij het informeren van betrokkenen?

Bij het informeren van betrokkenen over een datalek moet je in ieder geval de volgende informatie verstrekken:

• Een omschrijving van de aard van de inbreuk.
• De naam en contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen;
• De waarschijnlijke gevolgen van de inbreuk voor betrokkenen.
• De maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken, inclusief maatregelen om eventuele nadelige gevolgen te beperken.
• De maatregelen die betrokkenen zelf kunnen nemen, bijvoorbeeld hun wachtwoord wijzigen.

Zorg ervoor dat de communicatie naar betrokkenen duidelijk en in eenvoudige taal is opgesteld.

Tot slot, verplicht de AVG organisaties ook om alle datalekken die optreden, op te nemen in een datalekregister. Let op, in het datalekregister moeten alle datalekken staan, dus ook de datalekken die de gemeente niet hoeft te melden bij de AP of betrokkenen.

Meer informatie of hulp nodig?

Je kan gelukkig veel doen om datalekken te voorkomen of de gevolgen ervan te verkleinen. Bijvoorbeeld door goede beveiligingsmaatregelen te nemen. Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Denk bijvoorbeeld aan het toetsen van je datalekprocedure of een bewustwordingssessie aan lijnmanagers over dit onderwerp. Laat ons dit dan weten en neem contact met ons op.