AVG: datalek zit in een klein hoekje
De beveiliging van persoonsgegevens is niet alleen belangrijk omdat de wet daarom vraagt. Ja, soms moet je daar werkprocessen op aanpassen en nee, dat is niet altijd even prettig, maar alles went! Zo boos als we zijn of waren over Facebook die meer gegevens verzamelt dan de gemiddelde persoon kon overzien en die het vervolgens deelde met partijen waarvan we dat absoluut niet verwacht hadden, zo goed moeten we ervoor zorgen dat we gegevens van onze eigen klanten en contacten beveiligen. Hoe snel dat door menselijk handelen fout kan gaan, blijkt wel uit het datalek bij de Autoriteit Persoonsgegevens zelf.
AP veroorzaakt zelf een datalek
De Autoriteit Persoonsgegevens maakte per ongeluk de namen van een aantal medewerkers bekend. De namen stond nog in de metadata van de PDF’s die de Autoriteit op de eigen website upload, om op die manier personen en bedrijven te kunnen informeren. Een makkelijk gemaakte fout, want wie denkt er nou aan dat aan een document meestal nog een naam van de auteur hangt in de metadata? Een datalek zit in een klein hoekje. Niet alleen bij de Autoriteit Persoonsgegevens, maar dus juist bij iedereen en bij elke organisatie. De 800 PDF’s zijn inmiddels vervangen door versies zonder namen.
Lees hier meer over bij NU.nl
LawStories in je mailbox?
Niet elk datalek hoeft gemeld te worden
De AVG (GDPR) noemt een datalek een ‘inbreuk in verband met persoonsgegevens’. Van een inbreuk is sprake wanneer daardoor persoonsgegevens vernietigd worden, verloren raken, gewijzigd worden, verstrekt worden of toegankelijk gemaakt worden, terwijl dat niet mocht en/of niet de bedoeling was. Een datalek moet in principe binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld worden.
Tenzij het datalek waarschijnlijk geen risico vormt voor de rechten en vrijheden van natuurlijke personen. Als het geen inbreuk op de privacy oplevert, hoef een datalek dus niet gemeld te worden. De AP heeft het datalek dus niet aan zichzelf gemeld. Was ook niet nodig, omdat de impact op de privacy van de betrokkenen er niet of nauwelijks was. Hun rechten en vrijheden zijn er niet of nauwelijks door beperkt geraakt.
Risico’s zouden bijvoorbeeld kunnen zijn dat een betrokkene zijn eigen rechten niet meer zou kunnen handhaven. Denk aan het opvragen van de verwerkte gegevens, terwijl door het datalek de gegevens zijn gewist. Door een datalek kunnen ook andere risico’s ontstaan, zoals discriminatie, identiteitsfraude of reputatieschade. Het hangt allemaal af van het datalek: wat is er gebeurd en met welke gegevens. Nu waren er alleen voor- en achternamen gelekt en dat levert in dit geval geen risico op.
Altijd registreren
Ook als je een datalek niet hoeft te melden, moet je deze wel registreren.
- Omschrijving van het lek
- Datum
- Wat er met de gegevens is gebeurd
- Van hoeveel personen gegevens gelekt zijn
- Op welke (soort) groep personen het lek betrekken heeft
- Welke soort gegevens gelekt zijn
- Wat de mogelijke gevolgen van het lek zijn
- Welke maatregelen er genomen zijn of genomen gaan worden
Maatregelen treffen
Zodra een datalek is geconstateerd, moet het niet alleen gemeld worden, maar moeten er vooral maatregelen getroffen worden om de risico’s van dit specifieke lek zo goed mogelijk te beperken en om een volgend lek te voorkomen.
In dit geval betekende dat voor de Autoriteit Persoonsgegevens dat ze snel alle 800 PDF’s moesten herzien, de namen eruit moesten halen en de oude PDF’s op de website door de nieuwe, opgeschoonde versies moesten vervangen. Daarnaast zullen ze in hun werkwijze en dus de organisatorische beveiligingsmaatregelen aanpassingen moeten doen om te voorkomen dat dit in de toekomst nog kan gebeuren.
Daarmee moet de Autoriteit Persoonsgegevens dus ook hun interne privacybeleid (ook bekend onder de naam gegevensbeschermingsbeleid) gaan aanpassen.
Melden aan de betrokkene
Niet alle datalekken die aan de Autoriteit Persoonsgegevens gemeld moeten worden, moeten ook aan de betrokkenen zelf gemeld worden. De betrokkenen (de personen van wie de persoonsgegevens gelekt zijn) hoeven alleen op de hoogte gesteld te worden wanneer er een hoog risico is dat het datalek impact heeft op diens rechten en vrijheden. Dus als de kans groot is dat het datalek impact heeft op die rechten, dan moet het gemeld worden. Zo snel mogelijk nadat het lek ontdekt is.
Verwerkersovereenkomst met de verwerker
Een datalek kan natuurlijk ook voorkomen bij de verwerker. Als je een verwerkersverantwoordelijke bent, zul je het niet meteen merken wanneer er sprake is van een datalek. Je bent als verwerkersverantwoordelijke wel verantwoordelijk voor het melden van een datalek. Dat betekent dus dat er goede afspraken gemaakt moeten worden met de verwerker. De verwerker moet op tijd een datalek melden bij de verwerkersverantwoordelijke. Bijvoorbeeld binnen 24 uur. Dit geeft de verwerkersverantwoordelijke de kans om het datalek, als dat nodig is, toch nog binnen 72 uur bij de Autoriteit Persoonsgegevens te melden.
Natuurlijk moet de verwerker ook meewerken aan het treffen van maatregelen om het lek zo snel mogelijk te dichten en te voorkomen dat het nog eens kan gebeuren.
Datalek via printers en scanners
Weet jij precies wat een printer en scanner precies doet? Tuurlijk, je kent het eindresultaat. Maar wat er in de tussentijd gebeurt. Veel scanners hebben tegenwoordig een opslagcapaciteit. Even iets kopiëren? Kans bestaat dat er daarmee persoonsgegevens worden verwerkt en niet alleen op dat kopietje.
CBS News buys 4 used photocopiers at random.
Like every digital copier since 2002, they have hard drives that store images of every copy, every scan, every fax.
They pull the images from the hard drives….https://t.co/HqyPF6pC1w
. pic.twitter.com/ED9EvL6eEb— Russ Kick @ AltGov2 (@thememoryhole2) May 10, 2018
Heb je hulp nodig bij het opstellen van een intern privacybeleid of zijn je verwerkersovereenkomsten nog niet op orde? Wij helpen je graag!
Mail ons!