Tien dingen die je moet weten over de Privacy-verordening: meldplicht datalekken
Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat lijkt nog ver weg, maar om privacy compliant te zijn moet er wel wat gebeuren. Dit is deel 5 van onze blogreeks Tien dingen die je niet wil, maar wel moet weten over de komende Privacy-verordening.
Datalek
Zoals ik in het vorige deel ook aangaf, is de beveiliging van persoonsgegevens een steeds belangrijker vereiste uit de privacyregelgeving. Als er een inbreuk op de beveiliging plaatsvindt en daarbij gaan persoonsgegevens verloren of deze kunnen toegankelijk zijn voor onbevoegden is er sprake van een datalek. Bij het verloren gaan van persoonsgegevens kan gedacht worden aan bijvoorbeeld het per ongeluk deleten van een bestand met adresgegevens zonder een actuele back up. Voorbeelden van persoonsgegevens die ‘op straat kunnen liggen’ zijn een verloren USB-stick met een klantenbestand, een schoolrapport dat in de trein is blijven liggen, een hack of malware, een gestolen smartphone met een zakelijke mailbox of een e-mail met medische informatie die naar een verkeerde ontvanger is gestuurd.
Huidige meldplicht
Sinds 1 januari 2016 kennen we in Nederland al de meldplicht datalekken en deze blijft onder de AVG grotendeels hetzelfde. Onder de huidige Wet bescherming persoonsgegevens (Wbp) zal een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens moeten worden gemeld indien er ernstige nadelige gevolgen kunnen zijn voor de bescherming van de persoonsgegevens. Of er gemeld moet worden hangt af van de risico’s voor degene van wie persoonsgegevens zijn gelekt (betrokkenen). De Autoriteit Persoonsgegevens heeft beleidsregels geschreven waar in staat hoe die afweging kan worden gemaakt. Het gaat met name om de vraag of de gegevens die zijn gelekt van gevoelige aard zijn. Als een kopie van een paspoort bij een verkeerde ontvanger terecht komt, dan zal gemeld moeten worden. Dit document met BSN, pasfoto en handtekening bevat gevoelige persoonsgegevens, omdat daar gemakkelijk identiteitsfraude mee kan worden gepleegd. Ook het tijdelijk niet toegankelijk zijn van medische gegevens kan ernstige nadelige gevolgen hebben indien er bijvoorbeeld een operatie gepland staat. Als er geen sprake is van gevoelige gegevens is van belang of persoonsgegevens van een grote groep mensen zijn getroffen, dan wel dat er van een groep mensen veel persoonsgegevens op straat zijn komen te liggen. In dat geval bestaat de kans dat deze gegevens in het criminele circuit worden verhandeld en kan dat ook nadelige gevolgen hebben voor de betrokkenen.
Meest gemelde datalekken 2017
De Autoriteit Persoonsgegevens (AP) publiceert van ieder kwartaal een overzicht van alle gemelde datalekken. Daaruit blijkt over de jaren 2016 en 2017 dat het meest gemelde datalek het versturen of afgeven van persoonsgegevens is aan een verkeerde ontvanger. Dit kan zijn omdat een brief verkeerd wordt bezorgd, omdat een e-mail naar een verkeerde ontvanger gaat of omdat een klant in een klantportaal de gegevens van een andere klant ziet. Ook verloren USB sticks en verloren of gestolen laptops en telefoons zijn veel voorkomende datalekken. Het gaat dus zeker niet alleen om cybercrime. De soort gegevens die bij deze datalekken het meest zijn gelekt zijn NAW-gegevens, BSN en financiële gegevens. In het derde kwartaal van 2017 betrof het datalek met het grootste aantal getroffen personen ongeveer 700.000 betrokkenen. In 2017 zijn ook beduidend meer datalekken gemeld (7.222 in 3 kwartalen) dan in 2016 en heeft de AP 245 onderzoeken naar de beveiliging van persoonsgegevens ingesteld. Dat heeft meestal geleid tot een waarschuwing en beëindiging van de door de AP geconstateerde overtreding.
Meldplicht onder de AVG
De meldplicht blijft onder de AVG grotendeels gelijk. De Werkgroep 29, die bestaat uit alle voorzitters van de Privacy autoriteiten in Europa en de Europese privacy autoriteit, heeft guidelines opgesteld. Deze zijn nog niet definitief, maar geven wel een goed beeld hoe de meldplicht datalekken onder de AVG wordt uitgelegd door de toezichthouders. De grootste wijziging ten opzicht van de huidige meldplicht datalekken heeft betrekking op de interne registratie ervan. De AVG vereist dat alle datalekken worden gedocumenteerd en niet alleen de datalekken die gemeld worden. De AP kan deze registratie, ook wel incidentenregister genoemd, opvragen om te kunnen controleren of je aan de meldplicht datalekken heeft voldaan.
Wat mij ook nog opvalt in deze guidelines ten opzichte van de huidige beleidsregels heeft betrekking op versleutelde data. Op dit moment geeft de AP aan dat als bijvoorbeeld een laptop wordt gestolen met gevoelige gegevens dat in ieder geval gemeld dient te worden. Daar komt op grond van de guidelines een nuancering op. Indien de persoonsgegevens die op die laptop staan zodanig zijn versleuteld of anderszins onleesbaar zijn gemaakt dat deze door onbevoegden gelet op de nieuwste technieken, niet leesbaar zijn, dan hoeft dit niet worden te gemeld als een datalek. In dat geval dient er wel een back up te zijn van de gegevens, omdat er anders sprake is van het verloren gaan van deze persoonsgegevens, dat ook gemeld dient te worden. Het is dan wel mogelijk dat op latere datum toch nog gemeld zou moeten worden als bijvoorbeeld later blijkt dat de versleutelingscode ook gelekt is. Het is daarom voor dergelijke incidenten ook extra relevant om deze goed te registreren.
Informeren van de getroffen personen
Als een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens moet tevens worden beoordeeld of de getroffen personen op wie de gelekte persoonsgegevens betrekking hebben moeten worden geïnformeerd. Als het datalek ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer zullen ook de betrokkenen moeten worden geïnformeerd. Dat is bijvoorbeeld bij een datalek waarbij inloggegevens op straat zijn komen te liggen. Of als een kopie van een paspoort is kwijtgeraakt. In die gevallen moeten de betrokkenen in ieder geval op de hoogte worden gebracht, omdat deze gegevens kunnen worden misbruikt. Bovendien kunnen de getroffen personen dan maatregelen nemen om zichzelf te beschermen door bijvoorbeeld hun inloggegevens te wijzigen.
Datalekprocedure opstellen? Een stappenplan!
In het kader van de meldplicht datalekken zal volgens de toezichthouders binnen iedere organisatie een interne procedure moeten bestaan om beveiligingsincidenten te detecteren en de aanpak in geval van een incident waarbij persoonsgegevens verloren kunnen zijn gegaan of op straat kunnen liggen zich voordoet. Een belangrijk aspect daarin is dat wordt bepaald hoe de interne rapportering is geregeld. Als iemand binnen de organisatie zijn smartphone kwijt raakt of een e-mail naar een verkeerde ontvanger stuur, bij wie moet dat intern worden gemeld en wie beoordeelt vervolgens of er gemeld moet worden en of de betrokkenen geïnformeerd dienen te worden. Ik heb een stappenplan gemaakt dat als hulpmiddel kan dienen voor het invoeren van een datalekprocedure. Dit stappenplan kunt je hier downloaden.
Hulp nodig?
Heb je vragen over de verplichtingen uit de AVG, neem dan contact op met een van onze experts op het gebied van Privacy & IT.