Blog

Datalek bij de Autoriteit Persoonsgegevens

Op Privacy-web.nl las ik dat de Autoriteit Persoonsgegevens afgelopen vrijdag te maken had met een datalek: ze had per ongeluk e-mailadressen van relaties openbaar gemaakt. De privacywaakhond had in een e-mail naar de pers 38 e-mailadressen in de cc gezet. Daardoor konden alle ontvangers elkaars e-mailadressen inzien. Dit is een datalek. Voor de goede orde: De AP had deze adressen in de bcc moeten zetten, zodat de ontvangers niet elkaars e-mailadressen kunnen zien.

Moet de Autoriteit Persoonsgegevens dit datalek melden, en zo ja, bij wie dan? Immers, als er een datalek is kan het zo zijn dat deze gemeld moet worden… bij de Autoriteit Persoonsgegevens en in sommige gevallen bij de betrokkenen. Of dit incident gemeld moet worden hangt met name af van het aantal gelekte e-mailadressen en de inhoud van de betreffende e-mail.

meldplicht datalekken

Immers, de Autoriteit Persoonsgegevens moet als “verwerkingsverantwoordelijke” maatregelen nemen om de persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Een datalek moet dus voorkomen worden door daartegen maatregelen te nemen. De e-mailadressen moesten daarom op de bcc in plaats van op de cc. Nu persoonsgegevens toch onrechtmatig verwerkt worden is er sprake van een datalek.

Dit moet in principe gemeld worden, maar dat hoeft niet in alle gevallen: er moet sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Heeft het datalek ook waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene, dan moet ook deze persoon geïnformeerd worden over het datalek.

In dit geval zal het niet zoveel voeten in de aarde hebben. De betreffende e-mail bevatte een verwijzing naar een persbericht dat op de website van de toezichthouder was verschenen. Toch toont het maar aan hoe snel er al sprake kan zijn van een datalek. Ze zijn niet de eerste, en zullen ook zeker niet de laatste zijn.

Wil je voor jezelf beoordelen of je een datalek moet melden? Houd dan rekening met de volgende vuistregels:

MOET U HET DATALEK MELDEN?

Simpel gezegd kunt u de volgende afweging aanhouden:

1. IS ER SPRAKE VAN EEN BEVEILIGINGSINCIDENT?

  1. Ja: ga naar stap 2.
  2. Nee: geen meldplicht datalekken.

2. ZIJN ER PERSOONSGEGEVENS VERLOREN GEGAAN?

  1. Ja: ga naar stap 4 (er is sprake van een datalek).
  2. Nee: ga naar stap 3.

3. IS ONRECHTMATIGE VERWERKING REDELIJKERWIJS NIET UIT TE SLUITEN?

  1. Ja: ga naar stap 4 (er is sprake van een datalek).
  2. Nee: geen meldplicht datalekken.

4. HEEFT HET DATALEK BETREKKING OP GEVOELIGE GEGEVENS OF IS ER OM EEN ANDERE REDEN (EEN AANZIENLIJKE KANS OP) ERNSTIGE NADELIGE GEVOLGEN VOOR DE BESCHERMING VAN DE VERWERKTE PERSOONSGEGEVENS?

  1. Ja: het datalek moet gemeld worden aan de Autoriteit Persoonsgegevens, ga naar stap 5.
  2. Nee: geen meldplicht datalekken.

5. WAREN DE GELEKTE PERSOONSGEGEVENS NIET OF NIET GOED VERSLEUTELD OF ZIJN ER OM EEN ANDERE REDEN WAARSCHIJNLIJK ONGUNSTIG GEVOLGEN VOOR DE PERSOONLIJKE LEVENSSFEER VAN DE BETROKKENE?

  1. Ja: het datalek moet ook gemeld worden aan de betrokkene.
  2. Nee: het datalek moet alleen gemeld worden an de Autoriteit Persoonsgegevens.

Gerelateerde berichten