Gerdien Dekker

Een voorbeeld van een datalek in de praktijk:

In mijn mailbox verschijnt een berichtje van mr. X: “Goedemiddag, Graag verwijs ik u naar de bijlage.” Tegen mr. X heb ik enige tijd geleden een procedure gevoerd. In de bijlage zit een brief gericht aan ene Gerritsen wonende in Tiel. In de brief zet mr. X. de kansen in een zaak tegen de werkgever van Gerritsen en uiteen en kan ik lezen dat Gerritsen een behoorlijk goed loon heeft. Gerritsen ken ik niet en het bedrijf waarvoor hij werkt ook niet. Ik stuur mr. X een mailtje terug dat deze e-mail waarschijnlijk niet voor mij bestemd is en verwijder het bericht. Daarmee is de zaak voor mij gesloten. Voor mr. X. ook..? Is sprake van een datalek en zo ja, moet mr. X. dit datalek melden bij de Autoriteit Persoonsgegevens en bij Gerritsen?

Datalek of niet?

Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als u niet kunt uitsluiten dat de persoonsgegevens onrechtmatig zijn verwerkt. Een onrechtmatige verwerking kan bijvoorbeeld zijn dat een onbevoegde kennis neemt of kan nemen van de persoonsgegevens, de persoonsgegevens kunnen worden gewijzigd of aangetast. De hacker die aan de haal gaat met het klantenbestand, de USB-stick die u verliest met daarop enkele loonstroken van uw werknemers.

Melden aan de Autoriteit Persoonsgegevens of niet?

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. In sommige gevallen moet de organisatie zelfs een melding doen aan de persoon van wie gegevens zijn gelekt. Wordt geen melding gedaan, dan riskeert een bedrijf boetes die kunnen oplopen tot € 900.000,00.

Het sturen van een e-mail naar een verkeerde persoon waarin persoonsgegevens van een ander staan vermeld, kan zeker beschouwd worden als een datalek. Maar zoals gezegd, hoeven alleen ernstige datalekken gemeld te worden aan de Autoriteit Persoonsgegevens.

De Autoriteit Persoonsgegevens beschouwt een lek als ernstig als met het lek een grote hoeveelheid data is gemoeid (kwantitatief ernstig), maar ook als gevoelige gegevens zijn gelekt (kwalitatief ernstig).

In het voorbeeld dat ik gaf, heeft mr. X. behoorlijk gevoelige gegevens gelekt. Ik weet niet alleen waar Gerritsen werkt, hoeveel hij verdient, maar weet ook nog eens dat hij is verwikkeld in een procedure tegen zijn werkgever.

Mr. X. moet binnen 72 uur nadat hij ontdekt heeft dat hij per ongeluk een e-mail aan mij heeft gestuurd een melding doen bij de Autoriteit Persoonsgegevens.

Het melden van een datalek kan eenvoudig via de website van de Autoriteit Persoonsgegevens. Op de website kan een formulier worden ingevuld, waarbij u alle gegevens over het datalek meldt.

Melden aan betrokkene of niet?

Zoals ik hierboven al aangaf, moet in sommige gevallen de organisatie zelfs een melding doen aan de persoon van wie gegevens zijn gelekt. Dat is het geval als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. Daarbij moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie.

Omdat in het geval van mr. X. wel erg gevoelige data is gelekt, doet mr. X. er verstandig aan dit toch te melden bij Gerritsen.

Weet u wat te doen bij een datalek?

U verstuurt een e-mail aan een verkeerd persoon, verliest uw iPhone of een laptop wordt uit uw auto gestolen. Allerlei situaties waarbij sprake kan zijn van een datalek dat u moet melden aan de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft op haar website beleidsregels gepubliceerd, waarin veel uitgebreider dan in dit artikel wordt stilgestaan bij datalekken en wanneer deze moeten worden gemeld of niet.

Datalekken zijn in de praktijk niet te voorkomen: de boetes van de Autoriteit Persoonsgegevens wel…!

Ik heb inmiddels meerdere workshops over dit onderwerp gegeven. Dus heeft u vragen of twijfelt u of u moet melden, mailt u mij gerust met uw vraag gdekker@zandvoort-legal.nl

Lees ook ons whitepaper (direct te downloaden): Meldplicht datalekken, weet u wat u moet doen?

Schrijf je in voor onze nieuwsbrief
Neem contact met ons op
Bekijk hoe we werken

Deel dit verhaal, kies je kanaal!