Meld datalekken op tijd: voorkom een boete!

datalekken

Sinds 1 januari 2016 dient iedere organisatie binnen 72 uur een datalek te melden aan de Autoriteit Persoonsgegevens (AP). Ik merk in de praktijk dat organisaties vaak huiverig zijn om een datalek te melden. Maar let op: het niet op tijd melden van een datalek kan duur uitvallen… Uber kreeg daarvoor een boete van 600.000 euro van de AP!

Datalek bij Uber

Op 27 november 2018 kwam het bericht van de Autoriteit Persoonsgegevens (AP) dat zij een bestuurlijke boete van 600.000 euro heeft opgelegd aan Uber B.V. en Uber Technologies, Inc. De aanleiding van deze boete is het datalek bij Uber waarbij gegevens van ruim 57 miljoen gebruikers wereldwijd, waaronder 174.000 Nederlandse Uber-gebruikers toegankelijk waren voor hackers. In de periode van 13 oktober 2016 tot 15 november 2016 hebben onbevoegden feitelijk toegang gehad tot 31 soorten persoonsgegevens van Uber gebruikers en Uber chauffeurs, waaronder namen, adressen, telefoonnummers, rijbewijsnummers van Uber-chauffeurs en locatiegegevens. Uber heeft het datalek pas ruim een jaar na ontdekking van het datalek gemeld aan de AP. Ook de getroffenen werden door Uber pas een jaar later geïnformeerd via een nieuwsbericht op haar website. Uber betaalde wel al in december 2016 een bedrag van 100.000 dollar aan de melders van het datalek met de afspraak het datalek geheim te houden. Dit feit maakt dat de AP oordeelt dat er sprake is van een ernstig verwijtbare nalatigheid door Uber. De AP legt daarom een boete op van 600.000 euro.

Wat is een datalek?

Een datalek is een incident waarbij persoonsgegevens verloren zijn gegaan of toegankelijk kunnen zijn voor onbevoegden. De meest voorkomende datalekken zijn incidenten waarbij persoonsgegevens per ongeluk bij een verkeerde ontvanger terecht komen. Dit kan zijn omdat een brief verkeerd wordt bezorgd, omdat een e-mail naar een verkeerd e-mailadres wordt verstuurd of omdat een klant in een klantportaal de gegevens van iemand anders ziet. Ook verloren USB sticks en verloren of gestolen laptops en telefoons zijn veel voorkomende datalekken. Het gaat dus zeker niet alleen om cybercrime.

En de meldplicht?

De meldplicht datalekken brengt voor iedere organisatie twee verplichtingen mee: 1. een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP) via het meldloket, tenzij er geen risico is te verwachten voor de getroffen personen; 2. de getroffen personen moeten worden geïnformeerd als zij een groot risico lopen. Of gemeld moet worden hangt daarom af van de mogelijke risico’s voor degene van wie persoonsgegevens zijn gelekt. De Autoriteit Persoonsgegevens heeft beleidsregels geschreven waar in staat hoe die afweging moet worden gemaakt. Deze regels zijn gemaakt onder de oude Wet bescherming persoonsgegevens (Wbp), maar zijn ook onder de Algemene Verordening Gegevensbescherming (AVG) bruikbaar voor de beoordeling of een datalek gemeld moet worden. Als de gelekte gegevens bijzonder of van gevoelige aard zijn, dan zal in ieder geval gemeld moeten worden. Ook al gaat het maar om de gegevens van één persoon. Denk aan een kopie van een paspoort. Daarop staat het BSN, een pasfoto en een handtekening. Dit zijn gegevens van gevoelige aard, omdat daar gemakkelijk identiteitsfraude mee kan worden gepleegd. Het risico voor een betrokkene is daardoor groot. Het datalek zal daarom niet alleen bij de AP gemeld moeten worden, maar de getroffenen zullen ook moet worden ingelicht. In de Uber zaak geeft de AP aan dat het risico op phishing ook een reden is of de getroffen personen te informeren. Zie voor meer informatie over de meldplicht datalekken mijn eerdere blogpost over de meldplicht datalekken in de AVG.

Wanneer moet een datalek gemeld worden?

Een datalek moet binnen 72 uur na ontdekking worden gemeld. De AP geeft in het Uber rapport expliciet aan dat er in de praktijk niet snel aanleiding zal zijn om niet binnen de gestelde termijn van 72 uur melding te maken van een datalek. Als nader onderzoek nodig is, kan namelijk eerst een voorlopige melding worden gedaan. Let daarom op dat deze termijn niet wordt overschreden!

Dit is de eerste boete van de AP

De boete is opgelegd op grond van de oude Wet bescherming persoonsgegevens (Wbp), zoals die gold tot 25 mei 2018. Dit komt omdat de overtreding – namelijk het niet tijdig melden van het datalek in 2016 – onder de Wbp heeft plaatsgevonden. In Nederland gold toen al de meldplicht datalekken. De hoogste boete die onder de Wbp kon worden opgelegd was toen 820.000 euro. Onder de huidige Algemene Verordening Gegevensbescherming (AVG) kan de boete voor het niet tijdig melden van een datalek oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet. Is er meer aan  de hand, dan kan de boete zelfs oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Meld een datalek daarom altijd op tijd!

Hulp nodig?

Twijfel je of een incident een datalek is dat gemeld moet worden? Andere vragen over de AVG? Neem dan contact op.