Meldplicht datalekken

De verwerkingsverantwoordelijke moet op grond van artikel 32 van de AVG de verwerking van persoonsgegevens passend beveiligen. Het kan echter voorkomen dat persoonsgegevens toegankelijk worden gemaakt voor personen die daar geen toegang tot moeten hebben. Dit is een datalek. Een datalek moet in bepaalde gevallen gemeld worden aan de Autoriteit Persoonsgegevens. Wanneer dat is en welke verplichtingen dit nog meer met zich meebrengt voor decentrale overheden kunt u lezen op deze pagina.

Wat is een datalek?

Er is sprake van een datalek indien er een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden. Een datalek kan ontstaan door beveiligingsproblemen. U kunt bijvoorbeeld denken aan een kwijtgeraakte usb-stick, een gestolen laptop, een inbraak in een databestand of een verkeerd doorgestuurde email. Er is tegenwoordig ook kans op een datalek na een hack, phishing mail of malware. Hierdoor kunnen persoonsgegevens in de handen van derden vallen die hier geen toegang tot mogen hebben.

Meldplicht aan Autoriteit Persoonsgegevens

Een datalek moet worden gemeld aan de AP als er (ernstige) risico’s zijn voor de rechten en vrijheden van de betrokken personen. Het niet melden van een datalek vormt een overtreding van de AVG.

Een datalek moet door de verwerkingsverantwoordelijke uiterlijk 72 uur nadat hij er kennis van heeft genomen gemeld worden aan de AP. Gebeurt dit later dan 72 uur, dan moet de melding vergezeld worden door een motivering voor vertraging.

De European Data Protection Board heeft in 2021 richtlijnen opgesteld voor datalekmeldingen. Dit kan decentrale overheden helpen bij het nemen van passende maatregelen na vaststelling van een datalek. De richtlijnen vormen een aanvulling op de algemene richtlijnen over datalekken uit 2018.

Meldplicht aan betrokkene

Als het datalek een hoog risico met zich meebrengt voor de rechten en vrijheden van degene wiens persoonsgegevens het betreffen, de betrokkene, moet de verwerkingsverantwoordelijke de inbreuk ook aan deze persoon meedelen. Dit moet in duidelijke en eenvoudige taal gebeuren. De betrokkene hoeft niet ingelicht te worden wanneer:

Er passende technische en organisatorische beschermingsmaatregelen genomen zijn en deze zijn toegepast waardoor de persoonsgegevens onbegrijpelijk zijn voor onbevoegden;
Er achteraf maatregelen genomen zijn waardoor het hoge risico voor de rechten en vrijheden van de betrokken zich waarschijnlijk niet meer zal voordoen;
De mededeling onevenredige inspanningen zou vergen. Een openbare mededeling voldoet dan ook.

Meer informatie over datalekken en de meldingsplicht kunt u vinden in deze praktijkvraag.

Wat te doen bij een datalek na een hack?

Register datalekken

De verwerkingsverantwoordelijke moet alle inbreuken in verband met persoonsgegevens registreren in een overzicht, ook als een inbreuk niet gemeld hoeft te worden. In zo’n register wordt bijvoorbeeld omschreven wat er feitelijk gebeurd is, welke maatregelen zijn genomen en of de inbreuk gemeld is.

De AP heeft verschillende registers van datalekken van overheidsorganisaties gecontroleerd op kwaliteit. Naar aanleiding hiervan heeft de toezichthouder tien praktische tips geformuleerd die organisaties kunnen toepassen om de registratie van datalekken beter te organiseren.

Meerfactorauthenticatie

Een meerfactorauthenticatie (MFA) is een vorm van toegangsbeveiliging die ervoor zorgt dat de identiteit van de gebruiker wordt geverifieerd door een authenticatiemiddel. Hierbij kan gedacht worden aan een code of een smartcard. Zo kan er op een makkelijke manier meer bescherming worden geboden. Veel meldingen zouden voorkomen kunnen worden wanneer er gebruik wordt gemaakt van een MFA. Het gebruik van een MFA is bovendien verplicht binnen een organisatie als het een essentiële maatregel is (artikel 5 lid 1 onder f, artikel 24 en artikel 32 AVG). Het is een essentiële maatregel als het passende bescherming biedt zoals bedoeld in artikel 5 lid 1 onder f AVG.