Datalekken komen dagelijks voor, alleen merken we daar doorgaans niet zoveel van. Slechts grote en/of spraakmakende datalekken halen de pers, denk hierbij aan de berichten over de datalekken van Facebook en Uber. Ook het datalek bij Nederlandse ziekenhuis Haga was spraakmakend. Maar wat is een datalek nu precies? Kortweg spreken we van een datalek wanneer er sprake is van toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Wetgeving
Sinds 1 januari 2016 geldt er een meldplicht met betrekking tot datalekken. Aanvankelijk op basis van de Wet bescherming persoonsgegevens (Wbp) en sinds 25 mei 2018 op grond van de Algemene Verordening Gegevensbescherming (AVG). Dit houdt in dat een organisatie datalekken in sommige gevallen rechtstreeks bij de betrokkenen moet melden. Door het melden van een datalek aan de betrokkenen is deze gewaarschuwd voor mogelijke nadelige gevolgen (aantasting in eer en goede naam, identiteitsfraude of discriminatie), zodat hij/zij de noodzakelijke maatregelen kan treffen.
De bescherming van deze persoonsgegevens maakt onderdeel uit van de persoonlijke levenssfeer in de zin van artikel 10 van de Grondwet en het recht op respect voor het privéleven in de zin van artikel 8 EVRM. Dit betekent dat iedereen recht heeft op een rechtmatige verwerking van zijn persoonsgegevens om te voorkomen dat hij/zij hier nadeel van ondervindt.
Boetebesluit
In het recente boetebesluit in de zaak Uber oordeelt het Autoriteit Persoonsgegevens (AP) dat er sprake is onrechtmatige verwerking omdat onbevoegden bestanden van Uber van de opslag hebben gedownload. Daarmee hadden zij toegang tot, en konden zij kennis nemen van, de daarin opgenomen persoonsgegevens van Uber klanten, hetgeen door de AP als ongunstige gevolgen voor de persoonlijke levenssfeer werd gecategoriseerd.
Daarnaast vindt de AP het van belang dat de opgeslagen persoonsgegevens een aantrekkelijke dataset (vanwege o.a. de omvang en type persoonsgegevens) is om doorverkocht te worden in het kader van (spear) phishing, ongewenste reclame en/of ongewilde colportage. Uber stelt daar tegenover dat zij het risico hebben afgekocht door $100.000,- aan de hackers te betalen en hen een geheimhoudingsovereenkomst te laten tekenen, waardoor er geen sprake was van een hoog risico op nadelige gevolgen en het melden aan betrokkenen achterwege kon blijven. Volgens de AP doet het feit dat dit risico zich (nog) niet heeft gemanifesteerd bij de beoordeling niet ter zake. Ten tijde van het datalek was dit een reëel risico dat niet kon worden uitgesloten, waardoor Uber wel degelijk de betrokkenen had moeten informeren.
De betrokkenen
De vraag is dan ook wanneer moet u de betrokkene in kennis stellen van een datalek?
Volgens de AVG[1] moet u een datalek aan betrokkenen melden als dit waarschijnlijk een hoog risico voor de rechten en vrijheden van personen inhoudt. Hiertoe dient u een aantal factoren, die zijn opgesteld door de Werkgroep 29[2] tegen elkaar af te wegen. De navolgende factoren zijn hierbij van belang:
- De aard van de inbreuk
- De aard, de gevoeligheid en omvang van de persoonsgegevens
- Het gemak waarmee personen kunnen worden geïdentificeerd
- De ernst en de gevolgen voor personen
- Bijzondere kenmerken van de persoon
- Bijzondere kenmerken van de organisatie
- Het aantal getroffen personen
- Algemene punten
Mocht een datalek zich voor dan bent u genoodzaakt om passende maatregelen te treffen om te voorkomen dat de nadelige gevolgen voor de rechten en vrijheden van personen zich manifesteren. U kunt hierbij bijvoorbeeld denken aan het wijzigen van een wachtwoord. Mocht u middels een logging kunnen aantonen dat er geen gebruik is gemaakt van het wachtwoord dan kunt u aantoonbaar stellen dat het risico zich niet heeft gemanifesteerd. Ontbreekt een dergelijke logging dan betekent dit dat u niet kunt uitsluiten dat de persoonsgegevens worden of zijn benaderd.
Discutabel is de argumentatie van de verzekeraar Achmea[3] over het niet melden van het hun datalek aan duizenden betrokkenen. Achmea geeft aan dat zij het datalek niet hebben gemeld aan de duizenden klanten omdat een medewerker de oorzaak was van het datalek. Hierdoor lag het erg privacygevoelig. Verder zijn zij ervan gegaan dat de persoonsgegevens niet verder geopenbaard werden, hebben ze de duizenden klanten niet geïnformeerd. De vraag rijst of zij de privacy van één medewerker mogen laten prevaleren boven die van duizenden klanten. Om een goede afweging te kunnen maken dienen alle hiervoor genoemde factoren beoordeeld te worden.
Maar het moge zonder meer duidelijk zijn dat het betalen van een afkoopsom aan de hackers en het laten tekenen van een geheimhoudingsverklaring niet valt onder passende maatregelen.
Wat kunnen wij voor u doen?
Mocht u worden geconfronteerd met een datalek en zich afvragen of u dit dient te melden aan de betrokkenen (of aan de AP), dan denken onze advocaten van First Lawyers graag met u mee.
Zij hebben veel ervaring met het begeleiden van organisatie in geval van datalekken en de verdere gevolgen middels hun gespecialiseerde dienstverlening bij datalekken, genaamd First Aid Data Breach (FADB).
[1] Art. 34 Avg
[2] De Artikel 29-werkgroep (Working Party 29, WP29) is opgevolgd door de European Data Protection Board (EDPB). Dit is een orgaan waarin alle nationale privacy toezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG).
[3] https://www.ad.nl/binnenland/datalek-bij-achmea-gegevens-duizenden-verzekerden-op-straat~a542695e/