AVG compliance: er ligt privacygevoelige data op straat, wat nu? (17/20)

Heb je al een datalek gehad? Sinds januari 2016 is het verplicht datalekken te melden, als het een relatief groot datalek was. Dit gaat onder de Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywet niet veranderen. Nieuw is wel dat je ook intern moet documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.

Volgens de wet is een datalek kort gezegd iedere schending van de beveiliging waardoor persoonsgegevens in verkeerde handen zijn gevallen of kwijt zijn geraakt. Het maakt niet uit of het een geavanceerde hack was of een eenvoudige slordigheid. Een USB-stick kwijtraken in het park is net zo goed een datalek als een lek door spionagesoftware die alles kopieert naar een ver land.

Wel moet het gaan om een wérkelijke schending, gegevens moeten daadwerkelijk zijn ontvreemd. Ontdek je dus een beveiligingsprobleem en dicht je het voordat het is misbruikt, dan is er niets aan de hand en spreken we niet van een datalek. Natuurlijk moet je wel kunnen verifiëren dát het lek niet is misbruikt. Daarom is het van groot belang om goede logging en registratie te hebben van wat er gebeurt op de systemen.

Als een datalek zich voordoet, moet je dat melden aan de toezichthouder én aan de betrokken personen. Dit moet eigenlijk altijd, tenzij duidelijk is dat er geen of nauwelijks risico’s zijn voor de privacy van personen. Stonden op die USB-stick alleen klantnummers en totale omzet per klantnummer, dan hoeft er niets te worden gemeld. En was de USB-stick vergrendeld met encryptie, of kon je direct na het datalek de gevolgen daarvan tot nul reduceren, dan hoef je betrokkenen sowieso niet te informeren.

Datalekken moeten binnen 72 uur na ontdekking worden gemeld. De melding gebeurt elektronisch, en vereist een duidelijke indicatie van wat er misging, welke gegevens zijn geraakt en welke vervolgstappen u gaat nemen. Heb je binnen die periode niet direct alle gegevens, dan kun je alvast een voorlopige melding doen en later de overige informatie aandragen.

Een datalek kan zich ook voordoen bij een partij die voor je werkt. Je bent daarvoor aansprakelijk. Met zo’n verwerker moet je dus duidelijke afspraken maken over zijn beveiliging, maar ook over hoe hij datalekken bij jou meldt. En vergeet uiteraard niet de aansprakelijkheid duidelijk vast te leggen!

Nieuw onder de AVG is nog dat je verplicht bent ieder datalek – dus ook diegenen die je niet hoefde te melden – intern te registreren inclusief verbeterplan om te zorgen dat het niet nogmaals gebeurt. Deze registratie moet op verzoek door de toezichthouder ingezien kunnen worden.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.