Booking.com, Odido, Basic-Fit, Rituals, gemeente Epe – de lijst groeit. Allemaal grote organisaties die onlangs zijn getroffen door een datalek. Een vraag die vaak wordt gesteld is: wat vereist de AVG in die situaties? In deze blog worden twee belangrijke verplichtingen toegelicht: de beveiliging van persoonsgegevens en de meldplicht bij datalekken. Ook wordt stilgestaan bij de mogelijke gevolgen als dit niet wordt nageleefd.

Wat er speelde

In de hiervoor genoemde datalekken gezamenlijk zijn ten minste de volgende persoonsgegevens getroffen: namen, (e-mail)adressen, geslacht, geboortedata, lidmaatschapsgegevens, boekingsinformatie, bankgegevens en zelfs kopieën en nummers van identiteitsbewijzen. De gegevens zijn op zichzelf misschien niet allemaal gevoelig, maar samen zijn ze aantrekkelijk voor misbruik. 

Wat de AVG vereist
Passende beveiliging (artikel 32 AVG)

De AVG verplicht organisaties passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Dit omvat pseudonimisering en versleuteling van persoonsgegevens, het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van systemen, het snel kunnen herstellen van toegang tot de persoonsgegevens na een incident en het regelmatig testen of de genomen maatregelen ook daadwerkelijk werken. Concreet kan dit betekenen: sterke wachtwoordvereisten en multifactorauthenticatie, beperkte toegangsrechten, versleuteling van gevoelige data en periodieke security audits. Naast technische maatregelen zijn ook de organisatorische maatregelen, zoals trainingen van medewerkers, belangrijk. Welke beveiligingsmaatregelen “passend” zijn, hangt af van de risico’s: hoe gevoeliger de gegevens en hoe meer betrokkenen, hoe zwaarder de eisen.  Het antwoord op de vraag welke beveiliging “passend” is, kan overigens ook samenhangen met andere wet- en regelgeving. Denk dan bijvoorbeeld aan de Cyberbeveiligingswet – de Nederlandse implementatie van de NIS2-richtlijn, (op dit moment aanhangig bij de Eerste Kamer). 

Bij een datalek: melden (artikelen 33 en 34 AVG)

Treedt er toch een datalek op, dan kan er een meldplicht gelden richting de privacytoezichthouder (de Autoriteit Persoonsgegevens, hierna “AP”) en de betrokkenen. Een melding aan de AP is vereist als het datalek een risico oplevert voor de rechten en vrijheden van betrokkenen. Dit moet binnen 72 uur na kennisneming van het datalek gebeuren. Bestaat er waarschijnlijk een hoog risico voor betrokkenen – bijvoorbeeld bij een lek van gezondheidsgegevens of BSN – dan moeten ook zij onverwijld worden geïnformeerd in duidelijke en begrijpelijke taal. Die mededeling bevat ten minste: de aard van de inbreuk, contactgegevens voor meer informatie, de waarschijnlijke gevolgen en de (getroffen) maatregelen. 

Let op dat er daarnaast ook andere meldplichten kunnen bestaan bij een datalek, afhankelijk van de aard van het incident en de branche. Zo geldt voor organisaties in de financiële sector op basis van de Digital Operational Resilience Act (DORA) een meldplicht bij de AFM voor ernstige ICT-incidenten. Voor organisaties die onder de Cyberbeveiligingswet vallen geldt een meldplicht voor “significante” cyberbeveiligingsincidenten. Dit is het geval als het incident een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie (mogelijk) veroorzaakt of als het (mogelijk) entiteiten treft of heeft getroffen door aanzienlijke materiële of immateriële schade te veroorzaken. Een ransomware-aanval waarbij systemen worden gegijzeld, is hiervan een duidelijk voorbeeld. Op grond van de Cyberbeveiligingswet dient allereerst en onverwijld, of in ieder geval binnen 24 uur na kennisname, een vroegtijdige waarschuwing gestuurd te worden naar de relevante autoriteit over het significante incident. Daarna geldt als uitgangspunt dat binnen 72 uur de melding opgevolgd moet worden met onder meer een initiële beoordeling en update van informatie (uitzonderingen daargelaten). 

Sancties en schadevergoeding

Schiet een organisatie tekort (omdat bijvoorbeeld passende beveiligingsmaatregelen ontbraken of het datalek niet tijdig is gemeld), dan kan dit leiden tot een boete van de AP, schadeclaims van betrokkenen en reputatieschade.  

Deze versturen we 3-4x per jaar.