De meeste organisaties hebben
inmiddels de benodigde stappen genomen om te voldoen aan de vereisten,
voortvloeiende uit de AVG. Nu de documentatie veelal op orde is, is het ook
zaak om uitvoering te (blijven) geven aan hetgeen is opgenomen ten behoeve van
de betrokkene(n) van wie u persoonsgegevens verwerkt.
In de dagelijkse praktijk wordt binnen
organisaties veel gewerkt met persoonsgegevens. De kans op een datalek is dan
ook reëel. Maar wanneer wordt er precies gesproken over een datalek?
In de tekst van de AVG zelf zult
u de term ‘datalek’ niet terugvinden. In plaats daarvan wordt gesproken over
een ‘inbreuk in verband met persoonsgegevens' (artikel 4, punt 12). Er is sprake van een datalek, of
inbreuk in verband met persoonsgegevens, als het gaat om ongeoorloofde of
onbedoelde toegang tot of vernietiging, wijziging of vrijkomen van
persoonsgegevens bij een organisatie. Niet alleen het vrijkomen (lekken) van
gegevens, maar ook de onrechtmatige verwerking en verlies van (toegang tot)
persoonsgegevens valt aldus onder een datalek.
In voornoemd wetsartikel worden verschillende
categorieën datalekken van elkaar onderscheiden. Het betreft de volgende
inbreuken:
- Inbreuk op de vertrouwelijkheid – onbevoegde of
onopzettelijke openbaring van, of toegang tot, persoonsgegevens;
- Inbreuk op de integriteit – onbevoegde of
onopzettelijke wijziging van persoonsgegevens;
- Inbreuk op de beschikbaarheid – onbevoegd of
onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Uiteraard is het mogelijk dat een
datalek in meerdere categorieën tegelijk valt.
Indien er is komen vast te staan
dat er sprake is (geweest) van een datalek is de volgende vraag of dit lek ook
gemeld dient te worden aan betrokkene(n) en de Autoriteit Persoonsgegevens (AP).
Niet ieder lek brengt deze verplichting met zich mee.
In artikel 33 AVG is bepaald dat
een datalek alleen hoeft te worden gemeld bij de AP indien het lek leidt, of
heeft geleid, tot een risico voor de rechten en vrijheden van natuurlijke
personen. Is er sprake van een inbreuk dan is de verwerkingsverantwoordelijke
gehouden om melding te maken bij de AP, uiterlijk 72 uur nadat hij/zij er
kennis van heeft gekregen. Wanneer er ‘kennis’ is verkregen van een inbreuk
wordt nader besproken in de Guidelines meldplicht datalekken. Dit hangt
af van de concrete omstandigheden van het geval.
De natuurlijke personen van wie gegevens zijn gelekt
dienen te worden geïnformeerd als het lek een hoog risico voor hun rechten en
vrijheden oplevert. Hierbij dient onder meer gekeken te worden naar de
mogelijkheid of het datalek kan leiden tot fysieke, materiële en/of immateriële
schade.
Let er wel op dat, ook in het geval dat een bepaald datalek niet gemeld hoeft te worden bij de AP en/of betrokkene(n), het wel van belang is dat het lek intern gedocumenteerd wordt inclusief de overwegingen die hebben geleid tot de uiteindelijke beslissing om wel/niet te melden. Mocht u na het lezen van dit artikel alsnog met vragen zitten dan zijn wij uiteraard bereid u van advies te voorzien.
Maurits & Hömann
| Privacy Professionals
