AVG: datalek zit in een klein hoekje

5 minuten

De beveiliging van persoonsgegevens is niet alleen belangrijk omdat de wet daarom vraagt. Ja, soms moet je daar werkprocessen op aanpassen en nee, dat is niet altijd even prettig, maar alles went! Zo boos als we zijn of waren over Facebook die meer gegevens verzamelt dan de gemiddelde persoon kon overzien en die het vervolgens deelde met partijen waarvan we dat absoluut niet verwacht hadden, zo goed moeten we ervoor zorgen dat we gegevens van onze eigen klanten en contacten beveiligen. Hoe snel dat door menselijk handelen fout kan gaan, blijkt wel uit het datalek bij de Autoriteit Persoonsgegevens zelf.

AP veroorzaakt zelf een datalek

De Autoriteit Persoonsgegevens maakte per ongeluk de namen van een aantal medewerkers bekend. De namen stond nog in de metadata van de PDF’s die de Autoriteit op de eigen website upload, om op die manier personen en bedrijven te kunnen informeren. Een makkelijk gemaakte fout, want wie denkt er nou aan dat aan een document meestal nog een naam van de auteur hangt in de metadata? Een datalek zit in een klein hoekje. Niet alleen bij de Autoriteit Persoonsgegevens, maar dus juist bij iedereen en bij elke organisatie. De 800 PDF’s zijn inmiddels vervangen door versies zonder namen.

Lees hier meer over bij NU.nl

LawStories in je mailbox?

Bijna wekelijks een nieuwsbrief in je mailbox. Ondernemersverhalen, tips en nieuws over nieuwe wetten en uitspraken.

Gaan we regelen! Maar... hoe heet je eigenlijk?

Niet elk datalek hoeft gemeld te worden

De AVG (GDPR) noemt een datalek een ‘inbreuk in verband met persoonsgegevens’. Van een inbreuk is sprake wanneer daardoor persoonsgegevens vernietigd worden, verloren raken, gewijzigd worden, verstrekt worden of toegankelijk gemaakt worden, terwijl dat niet mocht en/of niet de bedoeling was. Een datalek moet in principe binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld worden.

Tenzij het datalek waarschijnlijk geen risico vormt voor de rechten en vrijheden van natuurlijke personen. Als het geen inbreuk op de privacy oplevert, hoef een datalek dus niet gemeld te worden. De AP heeft het datalek dus niet aan zichzelf gemeld. Was ook niet nodig, omdat de impact op de privacy van de betrokkenen er niet of nauwelijks was. Hun rechten en vrijheden zijn er niet of nauwelijks door beperkt geraakt.

Risico’s zouden bijvoorbeeld kunnen zijn dat een betrokkene zijn eigen rechten niet meer zou kunnen handhaven. Denk aan het opvragen van de verwerkte gegevens, terwijl door het datalek de gegevens zijn gewist. Door een datalek kunnen ook andere risico’s ontstaan, zoals discriminatie, identiteitsfraude of reputatieschade. Het hangt allemaal af van het datalek: wat is er gebeurd en met welke gegevens. Nu waren er alleen voor- en achternamen gelekt en dat levert in dit geval geen risico op.

Altijd registreren

Ook als je een datalek niet hoeft te melden, moet je deze wel registreren.

  • Omschrijving van het lek
  • Datum
  • Wat er met de gegevens is gebeurd
  • Van hoeveel personen gegevens gelekt zijn
  • Op welke (soort) groep personen het lek betrekken heeft
  • Welke soort gegevens gelekt zijn
  • Wat de mogelijke gevolgen van het lek zijn
  • Welke maatregelen er genomen zijn of genomen gaan worden

Maatregelen treffen

Zodra een datalek is geconstateerd, moet het niet alleen gemeld worden, maar moeten er vooral maatregelen getroffen worden om de risico’s van dit specifieke lek zo goed mogelijk te beperken en om een volgend lek te voorkomen.
In dit geval betekende dat voor de Autoriteit Persoonsgegevens dat ze snel alle 800 PDF’s moesten herzien, de namen eruit moesten halen en de oude PDF’s op de website door de nieuwe, opgeschoonde versies moesten vervangen. Daarnaast zullen ze in hun werkwijze en dus de organisatorische beveiligingsmaatregelen aanpassingen moeten doen om te voorkomen dat dit in de toekomst nog kan gebeuren.

Daarmee moet de Autoriteit Persoonsgegevens dus ook hun interne privacybeleid (ook bekend onder de naam gegevensbeschermingsbeleid) gaan aanpassen.

Melden aan de betrokkene

Niet alle datalekken die aan de Autoriteit Persoonsgegevens gemeld moeten worden, moeten ook aan de betrokkenen zelf gemeld worden. De betrokkenen (de personen van wie de persoonsgegevens gelekt zijn) hoeven alleen op de hoogte gesteld te worden wanneer er een hoog risico is dat het datalek impact heeft op diens rechten en vrijheden. Dus als de kans groot is dat het datalek impact heeft op die rechten, dan moet het gemeld worden. Zo snel mogelijk nadat het lek ontdekt is.

Verwerkersovereenkomst met de verwerker

Een datalek kan natuurlijk ook voorkomen bij de verwerker. Als je een verwerkersverantwoordelijke bent, zul je het niet meteen merken wanneer er sprake is van een datalek. Je bent als verwerkersverantwoordelijke wel verantwoordelijk voor het melden van een datalek. Dat betekent dus dat er goede afspraken gemaakt moeten worden met de verwerker. De verwerker moet op tijd een datalek melden bij de verwerkersverantwoordelijke. Bijvoorbeeld binnen 24 uur. Dit geeft de verwerkersverantwoordelijke de kans om het datalek, als dat nodig is, toch nog binnen 72 uur bij de Autoriteit Persoonsgegevens te melden.

Natuurlijk moet de verwerker ook meewerken aan het treffen van maatregelen om het lek zo snel mogelijk te dichten en te voorkomen dat het nog eens kan gebeuren.

Datalek via printers en scanners

Weet jij precies wat een printer en scanner precies doet? Tuurlijk, je kent het eindresultaat. Maar wat er in de tussentijd gebeurt. Veel scanners hebben tegenwoordig een opslagcapaciteit. Even iets kopiëren? Kans bestaat dat er daarmee persoonsgegevens worden verwerkt en niet alleen op dat kopietje.

Heb je hulp nodig bij het opstellen van een intern privacybeleid of zijn je verwerkersovereenkomsten nog niet op orde? Wij helpen je graag!

Mail ons!

Boek hier jouw Oploskoffie

Wil je een enkele of een dubbele?

Kies je gewenste datum en tijd

Zie ik je wel of zie ik je niet?

Kies eerst je oploskoffie (enkel of dubbel) en kies je tijdstip en locatie.

Waar wil je het over hebben?

Wie ben je?

0.00
Vertel eerst over je onderwerp en over jezelf.

Haal alles uit je oploskoffie

Met deze add-ons haal je nog meer uit je Oploskoffie.

Vooraf stukken bestuderen

Heb je e-mails, brieven of documenten waarvan je wil dat Charlotte die vooraf gelezen en bekeken heeft, zodat je die tijdens de Oploskoffie kunt bespreken? Bestel dan hieronder “Vooraf stukken bestuderen” erbij! (Een enkel mailtje kun je natuurlijk ook tijdens de oploskoffie voorleggen)

Opname

Niet druk meeschrijven, maar vol het gesprek in. Dat kan met een opname. Je ontvangt binnen 24 uur na het gesprek een downloadlink die één week geldig is.

Vergrootglas die document onder de loep neemt ter voorbereiding op een Oploskoffie
Vooraf stukken bestuderen

Vliegende start dankzij tevoren bestudeerde documenten of website

236

Opnameindicatie voor een Oploskoffie met rood rondje
Opname

Binnen 24 uur in je mail; makkelijk terugluisteren of tekstsuggesties (laten) uitwerken

49

Laatste vraag: Wat is je KVK nummer? (optioneel)
Je investering: 
0.00
 (excl. BTW)