Praktijkvraag

Laatste update: 19 maart 2025

Door:

Naar aanleiding van recente gebeurtenissen bij organisaties waarbij sprake was van een (poging tot) een hack met gijzelsoftware, wil onze gemeente weten of er in zo’n geval sprake is van een datalek. Zo ja, welke stappen moeten wij dan nemen om dit op te lossen?
Antwoord in het kort

De Algemene Verordening Gegevensbescherming (AVG) bevat regels over een zogenaamde ‘inbreuk in verband met persoonsgegevens’, ook wel een datalek genoemd. Bij een hack met gijzelsoftware kan inderdaad sprake zijn van een datalek en moeten decentrale overheden handelen volgens de AVG. Het datalek moet in bepaalde gevallen gemeld worden aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). Ook kan het verplicht zijn de betrokken personen op de hoogte te stellen van een datalek. Daarnaast moet een datalek altijd geregistreerd worden in het interne datalekkenregister van de organisatie.

Datalek bij een hack

De Algemene Verordening Gegevensbescherming 2016/579 bevat regels over een zogenaamde ‘inbreuk in verband met persoonsgegevens’. De AVG artikel 4, aanhef en punt 12, definieert dit als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’’.

We noemen zo’n inbreuk meestal een datalek. In grote lijnen zijn er drie categorieën datalekken te onderscheiden:

  • Inbreuk op de vertrouwelijkheid: onbevoegde of onopzettelijke openbaring van of toegang tot persoonsgegevens.
  • Inbreuk op de integriteit: onbevoegde of onopzettelijke wijziging van persoonsgegevens.
  • Inbreuk op de beschikbaarheid: onbevoegd of onopzettelijk verlies van toegang tot of vernietiging van persoonsgegevens.

Een datalek kan meer omvatten dan alleen het verliezen van persoonsgegevens bij een cyberaanval of het per ongeluk openbaar maken van de administratie op internet. Het omvat ook gevallen waarbij bijvoorbeeld een gemeentelijk netwerk wordt gehackt en gijzelsoftware wordt geïnstalleerd. Hackers eisen dan losgeld voor het vrijgeven van het netwerk of toegang tot belangrijke bestanden. De (persoons)gegevens zijn dan niet verloren, maar ze zijn wel tijdelijk onbereikbaar voor de gemeentelijke organisatie. de gemeentelijke organisatie. Als er persoonsgegevens in het spel zijn kan ook dat een datalek vormen.

Boetes en aansprakelijkheid

Een datalek kan ernstige gevolgen hebben voor decentrale overheden, zoals imagoschade, politieke schade en financiële schade. De AP heeft de bevoegdheid om boetes op te leggen aan decentrale overheden die bijvoorbeeld geen adequate en passende informatiebeveiligingsmaatregelen hebben genomen volgens artikel 32 AVG of niet hebben voldaan aan de meldplicht volgens artikel 33 AVG (zie hieronder). Daarnaast kunnen mensen die schade hebben ondervonden van een datalek, bijvoorbeeld door identiteitsfraude, de organisatie daarvoor aansprakelijk stellen en een schadevergoeding eisen. Dit is vastgelegd in artikel 82 AVG.

De AP heeft de bevoegdheid om boetes op te leggen aan decentrale overheden die bijvoorbeeld geen adequate en passende informatiebeveiligingsmaatregelen hebben genomen.

Het Hof van Justitie van de EU heeft meerdere uitspraken gedaan met betrekking tot een schadevergoeding bij een datalek. Het Hof heeft bijvoorbeeld een toelichting gegeven op aansprakelijkheid bij verlies van persoonsgegevens. Verder heeft het Hof uitgelegd wat wordt bedoeld met materiële en immateriële schade in de schadevergoedingsbepaling van de AVG en of ‘excuses aanbieden’ een vorm van vergoeding van niet-vaststelbare immateriële schade is.

Wat te doen bij een datalek?

De AP heeft een aantal stappen opgesteld die organisaties moeten nemen in geval van een datalek:

  1. Zorg voor overzicht op de situatie.
  2. Neem onmiddellijk maatregelen om de schade te beperken en schat de risico’s in.
  3. Bepaal of u het datalek wel of niet moet melden aan de AP. Zo ja, doe dit onmiddellijk.
  4. Bepaal of u het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
  5. Registreer het datalek in uw datalekregister.

Stappen 3 (meldplicht aan AP), 4 (meldplicht aan betrokkenen) en 5 (datalekkenregister) worden hieronder kort toegelicht.

Meldplicht aan Autoriteit Persoonsgegevens en aan betrokkenen

Artikel 33 AVG bevat een meldplicht aan de AP. Een datalek moet aan de AP worden gemeld zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat er kennis van is genomen. Deze verplichting geldt niet wanneer het onwaarschijnlijk is dat het datalek een risico inhoudt voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Deze afweging voor het wel of niet melden wordt verderop besproken.

Artikel 34 AVG bevat een meldplicht aan de betrokken personen wiens gegevens zijn gelekt. De betrokkenen moeten alleen worden geïnformeerd als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Denk hierbij aan fysieke, materiële of immateriële schade bijvoorbeeld in de vorm van discriminatie, (identiteits-)fraude, financiële schade of reputatieschade. De lat voor het melden aan betrokkenen ligt daarmee hoger dan voor een melding aan de AP.

Wat valt onder materiële en immateriële schade in de schadevergoedingsbepaling van de AVG?  
Is ‘excuses aanbieden’ een vorm van vergoeding van niet-vaststelbare immateriële schade in de AVG? 

Afweging meldplicht: hoe maak je een risico inschatting in de praktijk?

In beide gevallen moet in ieder geval een risico-inschatting worden gemaakt, waarbij de uitkomst (wel/niet melden) sterk afhankelijk is van de omstandigheden van het geval. Hieronder geven wij enkele voorbeelden van (potentiële) datalekken met daarbij de afweging om wel/niet te melden aan AP of betrokkenen.

Hack met ransomware

Hoewel dit per geval beoordeeld moet worden, is de kans groot dat de AP op de hoogte moet worden gesteld bij een hack met gijzelsoftware. De hack heeft namelijk hoogstwaarschijnlijk gevolgen voor personen, zeker wanneer geen back-ups beschikbaar zijn en de gegevens niet hersteld kunnen worden.

Betrokkenen moeten worden geïnformeerd afhankelijk van de aard van de betrokken persoonsgegevens en de mogelijke gevolgen. Als het gaat om gevoelige gegevens, zoals gezondheidsgegevens of financiële gegevens, moet de betrokkene hoogstwaarschijnlijk geïnformeerd worden. De afweging kan anders uitvallen als er geen permanent verlies van beschikbaarheid of vertrouwelijkheid is geweest doordat de organisatie wel back-ups heeft en de gegevens tijdig konden worden hersteld.

Betrokkenen moeten worden geïnformeerd afhankelijk van de aard van de betrokken persoonsgegevens en de mogelijke gevolgen.

Houd bij een hack met gijzelsoftware wel in het achterhoofd dat de hacker misschien een kopie van bestanden heeft gemaakt en dat op basis van die omstandigheid een melding aan de AP en/of betrokkenen voor de hand ligt.

Verlies mobiele telefoon

Als een medewerker een werktelefoon verliest kan dit mogelijk een datalek zijn. Een mobiele telefoon geeft immers toegang tot verschillende databestanden, waarbij ook persoonsgegevens in het spel zijn. Denk niet alleen aan contacten en e-mailadressen, maar ook aan andere werkgerelateerde applicaties.

Hoe de telefoon is beveiligd is van belang bij de afweging om wel/niet te melden. Wanneer bijvoorbeeld de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt door encryptie, is het soms niet nodig om de AP en/of betrokkenen op de hoogte te stellen, omdat het risico dan meevalt. Als de mobiel op afstand ‘leeggetrokken’ kan worden, kan dit zelfs betekenen dat er eigenlijk geen sprake is van een datalek en dat er zodoende niet gemeld hoeft te worden aan de AP of betrokkenen.

Brief of e-mail naar foutief adres

Betrokkenen moeten worden geïnformeerd, afhankelijk van de omvang en het type persoonsgegevens en de ernst van de mogelijke gevolgen zal de toezichthouder geïnformeerd moeten worden. Of het naar een foutief adres versturen van een brief of e-mail meldenswaardig is, hangt af van een aantal factoren, waaronder:

  • de inhoud van het bericht, bijvoorbeeld als een e-mail wachtwoorden bevat;
  • de soort gegevens, bijvoorbeeld een lijst gevoelige gegevens zoals de namen van personen die financiële steun van de gemeente ontvangen;
  • de hoeveelheid berichten, waarbij een fout geadresseerde e-mail naar een mailinglist van duizend personen waarschijnlijk grotere gevolgen heeft dan naar één e-mailadres.

Als de uitnodiging voor de nieuwjaarsreceptie per ongeluk naar het oude adres van de betrokkene is gestuurd, is het niet nodig een melding te doen aan de betrokkene en overigens ook niet aan de AP. Dit ligt anders als een andere persoon dan de betrokkene een brief ontvangt met daarin gevoelige gegevens, zoals medische details.

Op de website van de AP vindt u meer informatie in welke gevallen er wel of geen melding gedaan moet worden aan de toezichthouder en aan betrokkenen. Hier is ook een uitgebreide Voorbeeldlijst wel/niet melden datalek te vinden.

Register datalekken

Decentrale overheden moeten volgens artikel 33 lid 5 AVG een datalekkenregister bijhouden, net als andere organisaties die verwerkingsverantwoordelijke zijn in de zin van de AVG. Dit register bevat niet alleen de datalekken die aan de AP zijn gemeld, maar ook alle andere datalekken (hoe klein ook). Ook potentiële datalekken of andere beveiligingsincidenten worden voor de zekerheid vaak opgenomen in dit register.

De AP geeft tien praktische tips voor een betere registratie van datalekken.

Meer informatie

Digitale Overheid, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Autoriteit Persoonsgegevens
Factsheet meldplicht datalekken, Informatiebeveiligingsdienst VNG