Datalek? Meld het meteen

Wat is een datalek?

De officiële omschrijving van een datalek klinkt als volgt:

Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.

Overheid.nl 2017

Simpel gezegd betekent dit dat er persoonsgegevens gestolen zijn, of zijn kwijtgeraakt. Zijn er geen gegevens gestolen of verloren, maar zijn de gegevens niet goed beveiligd, dan noem je dat eerst een beveiligingslek. Raken de gegevens vervolgens kwijt - een laptop met toegang tot een database is gestolen, een computer is gehackt en er zijn persoonsgegevens gekopieerd of iemand is een telefoon verloren met zakelijke mails erop -  is er sprake van een beveiligingsincident. Komen de (persoonlijke) gegevens vervolgens in verkeerde handen, je weet in deze gevallen niet zeker of iemand de persoonlijke gegevens heeft bekeken of gebruikt, maar dat risico is er wel, dan is er sprake van een datalek.

Een datalek is overigens lang niet altijd digitaal. Afgelopen vrijdag meldde de Telegraaf bijvoorbeeld het volgende:

“Een van de bouwvakkers is tijdens de sloop van de Amsterdamse rechtbank zo overdonderd door de vondst van geheime dossiers en gevoelige interne informatie dat hij hals over kop naar de Telegraaf rijdt en het metersdikke dossier aflevert. ‘Bij het zien van de papieren schoot door mijn hoofd: dit is niet goed. Het kan niet zo zijn, dat wij deze stukken vinden. Dit moet aan de kaak worden gesteld’."

De bouwvakker vond tijdens de sloop duizenden pagina’s vol met privacygevoelige informatie over criminelen, zoals namen en adressen van verdachten en getuigen. Ook zaten er andere geheime rechtbankstukken tussen, zoals rapportages van de Raad voor de Kinderbescherming. De dossiers waren achtergelaten door medewerkers van de Amsterdamse rechtbank als oud papier; niet eerst door de versnipperaar laten gaan, maar achteloos in een papiercontainer gegooid.

Wanneer moet je een datalek melden?

Gaat het vervolgens om zulke privacygevoelige informatie dat er een kans is op nadelige gevolgen van de persoon van wie de informatie is gelekt, zoals bij de rechtbank, dan dient de organisatie het lek te melden aan de Autoriteit Persoonsgegevens (AP). In 2016 ontving de AP in totaal 5500 meldingen van datalekken bij bedrijven en andere organisaties, waarvan ongeveer één derde overigens uit de gezondheidssector komt. En hoewel 2017 net pas is begonnen, is het incident bij de rechtbank slechts één van de vele voorbeelden die 2017 al rijk is.

Een paar dagen geleden kwam naar voren dat er ook een ernstig datalek bij de gemeente Gouda is geweest, waarbij de gegevens van bewoners en bedrijven werden verspreid via een verkeerd mailtje van een ambtenaar aan iemand die een vergunning aanvroeg. Kopieën van rijbewijzen, horecavergunningen en burgerservicenummers van tientallen ondernemingen en meer dan 100 bewoners kwamen zo in haar mailbox terecht, zonder dat de persoonlijke gegevens werden weggelakt. De Goudse naar wie de informatie werd toegemaild, meldde het gegeven direct bij de gemeente Gouda. Maar bij nieuw mailcontact met de gemeente, op verschillende data in 2015 en 2016, werd er weer veel persoonlijke informatie meegestuurd die niet voor haar bestemd was. En hoewel de gemeente Gouda dus al op de hoogte was van het datalek, werd er pas eind 2016 melding gedaan bij de AP.

Een datalek moet eigenlijk zo snel mogelijk, maar uiterlijk binnen 72 uur na ontdekken, gemeld worden. Niet elk datalek hoef je te melden, dat hangt af van wat voor persoonsgegevens zijn gestolen of zijn kwijtgeraakt. Hoe minder persoonlijk of gevoelig de persoonsgegevens zijn, hoe kleiner de kans dat je het datalek moet melden bij de AP.

 In onderstaande gevallen moet je een datalek melden:

• Bijzondere persoonsgegevens: bijvoorbeeld geloofsovertuiging, lidmaatschap van een vakvereniging of medische gegevens

• Financiële of economische gegevens: bijvoorbeeld salaris, schulden, betalingsgegevens

• Gegevens die kunnen leiden tot uitsluiten of bestempelen van personen: bijvoorbeeld verslavingen of studie- of schoolprestaties

• Inloggegevens: bijvoorbeeld gebruikersnamen in combinatie met wachtwoorden

• Fraudegevoelige gegevens: bijvoorbeeld burgerservicenummers of kopieën van identiteitsbewijzen

De hoeveelheid personen waarvan data is gelekt, is niet belangrijk. Ook al zijn er maar gegevens van 1 persoon gestolen/verdwenen, kan het nog zijn dat je dit moet melden.  

Schema melden datalek

Aan wie meld je een datalek en hoe? 

Blijkt uit het schema dat je het datalek moet melden, dan doe je dit dus bij de Autoriteit Persoonsgegevens. Je vult op de website een formulier in met een groot aantal vragen over het datalek. Dit formulier vind je hier. Heeft het datalek grote gevolgen voor de personen waarvan er data is gestolen of verdwenen? Dan moet je het lek ook melden bij deze personen. Zij kunnen dan maatregelen nemen. Bijvoorbeeld door hun wachtwoord te wijzigen of door zich mentaal voor te bereiden op het feit dat er misschien gevoelige informatie over hen bekend gaat worden.  Als de data gecodeerd is, waardoor de gegevens niet leesbaar zijn voor anderen, dan hoef je het datalek niet te melden aan de betrokken personen.

Wat zijn de gevolgen voor een organisatie?

Van de 5500 meldingen die in 2016 zijn gedaan bij de AP, kregen er ruim 100 een officiële waarschuwing. In een paar extremere gevallen werd er groter onderzoek gedaan, waarbij een boete bij schuld kan oplopen tot honderdduizenden euro’s. Volgens het interview van Nu.nl met de AP waren soortgelijke boetes eind 2016 in ieder geval nog niet uitgegeven. Volgens het protocol zouden organisaties die vaker te maken krijgen met datalekken, zoals in het voorbeeld van de gemeente Gouda, daar uiteindelijk wel een grote kans op hebben.

Of de gemeente Gouda nu dan ook beboet wordt, zal nog moeten blijken.

Tijdens het radioprogramma Radio Reporter van de NRCV en KRO blijkt dat de helft van de Nederlandse gemeenten een datalek niet eens meldt, in situaties waar ze dat wel verplicht zijn. Wat dat betreft heeft Gouda uiteindelijk wel juist gehandeld. Meld je het datalek namelijk niet, dan loop je ook het risico op een bestuurlijke boete. De hoogte van deze boete kan oplopen tot rond de €800.000. Valt het datalek onder de meldplicht? Dan ben je ook verplicht om informatie over het datalek te bewaren, bijvoorbeeld de oorzaak van het lek en wat de gevolgen ervan waren. Hoe lang je deze informatie moet bewaren is niet duidelijk, maar het advies is om uit te gaan van minimaal 1 jaar.

Meer weten? Via deze link vind je meer informatie over de meldplicht datalekken.