Privacy in de praktijk - Beveilig de gegevens voldoende tegen verlies of onbevoegde toegang en meld eventuele datalekken

Beveiliging van persoonsgegevens en meldplicht datalekken

Onderzoek heeft aangetoond dat de gegevens van een persoon in honderden tot duizenden bestanden zitten. Wanneer gegevens niet goed worden beveiligd, kan dit leiden tot misbruik van deze gegevens. De beveiliging van persoonsgegevens heeft daarom een belangrijke plaats binnen het privacyrecht. Wanneer beveiliging faalt en sprake is van verlies van gegevens, moet een organisatie hier ‘onverwijld’ melding van maken bij de Autoriteit Persoonsgegevens (AP). Onder omstandigheden bestaat er ook een verplichting om het datalek te melden aan de betrokkene. Een datalek kan – naast de evident nadelige gevolgen voor de betrokkene – nadelig zijn voor een organisatie. Denk bijvoorbeeld aan negatieve publiciteit, een breuk in de vertrouwensband met klanten en alle financiële gevolgen die daaruit voortvloeien. Ook onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, blijft beveiliging van persoonsgegevens een belangrijke verplichting.

Beveiliging van persoonsgegevens

De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat bedrijven die persoonsgegevens verwerken, deze gegevens moeten beveiligen tegen verlies of een andere vorm van onrechtmatige verwerking. Om verlies of onrechtmatige verwerking te voorkomen moeten passende technische en organisatorische maatregelen worden genomen. Wat ‘passende’ maatregelen zijn, is afhankelijk van de situatie. Daarbij speelt een rol in welke categorie de gegevens zijn in te delen: (i) ‘gewone’ gegevens, (ii) gevoelige gegevens of (iii) bijzondere gegevens. Een webwinkel met een klein klantenbestand zal bijvoorbeeld met minder maatregelen kunnen volstaan dan een grote zorginstelling die op grote schaal bijzondere persoonsgegevens, zoals medische gegevens, verwerkt.

Meldplicht datalekken

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Deze verplichting houdt in dat organisaties melding moeten doen bij de AP, zodra sprake is van een ernstig datalek. Wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van een betrokkene, dient het datalek ook aan de betrokkene te worden gemeld. Niet ieder beveiligingsincident leidt tot een datalek, waarvan melding verplicht is. Er is sprake van een datalek wanneer daadwerkelijk persoonsgegevens verloren zijn gegaan, of als een onrechtmatige verwerking niet kan worden uitgesloten. In de praktijk is het voor partijen soms lastig te bepalen of er sprake is van een datalek, en zo ja, of dit datalek bij de Autoriteit Persoonsgegevens of bij de betrokkene(n) dient te worden gemeld (of bij allebei). Hieronder worden twee voorbeeldsituaties geschetst, die duidelijk maken dat iedere situatie waarin mogelijk sprake is van een datalek, een nauwkeurige beoordeling behoeft.

Voorbeeld 1: gestolen laptop

Een laptop is gestolen uit een kantoor van een zorginstelling voor kinderen. Op de laptop, die slechts is beveiligd met een simpel wachtwoord, staan bijzondere gegevens over de gezondheid en het welzijn van een groot aantal kinderen. Nu de computer nauwelijks is beveiligd, is er een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Er bestaat dan ook een verplichting om het datalek te melden bij zowel de Autoriteit Persoonsgegevens, als bij de betrokkene.

Voorbeeld 2: verkeerd bezorgde brief

Een brief met daarin persoonsgegevens wordt bezorgd bij het verkeerde adres. De envelop komt een week later ongeopend retour. Nu de brief niet is geopend bestaat er geen aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Er hoeft geen melding te worden gemaakt bij de Autoriteit Persoonsgegevens, of de betrokkene.

Wat verandert er onder de AVG?

Onder de AVG blijft onveranderd dat organisaties passende technische en organisatorische maatregelen moeten treffen. De AVG geeft in artikel 32 een aantal voorbeelden van manieren waarop passende maatregelen kunnen worden getroffen. Dit kan bijvoorbeeld door pseudonimisering en versleuteling van de persoonsgegevens. Een andere oplossing die de AVG in datzelfde artikel geeft, is dat organisaties zich kunnen aansluiten bij een door de AP goedgekeurde gedragscode of een door de AP goedgekeurd certificeringsmechanisme. Dit kan worden gebruikt als element om aan te tonen dat de organisatie passende maatregelen heeft getroffen. Kijk op de website van de AP welke gedragscodes zijn goedgekeurd. Tot nu toe zijn twee gedragscodes door de AP goedgekeurd, de Gedragscode voor slimme meters netbeheerders en de Privacygedragscode sector particuliere onderzoeksbureaus van de Nederlandse Veiligheidsbranche.

Conclusie

In Nederland bestaat al sinds 1 januari 2016 al een meldplicht datalekken. Deze meldplicht zal vanaf 25 mei 2018 onder de AVG in de gehele Europese Unie gaan gelden. Een verschil tussen de meldplicht onder de Wbp en onder de AVG is dat onder de AVG een algemene uitzondering bestaat voor het melden aan de autoriteit. Een organisatie hoeft een datalek niet te melden bij de AP indien het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien u meer wilt weten over de beveiliging van persoonsgegevens of de meldplicht datalekken, neem dan contact op met het IT- en privacyteam van Ploum. 

Lees meer artikelen in deze reeks:

• Privacy in de praktijk - De zeven vuistregels
• Gebruik de gegevens alleen op één van de in de wet vermelde gronden
• Gebruik gegevens alleen voor het doel waarvoor je ze hebt verkregen
• Hoe privacygevoeliger de informatie, des te minder er mag
• Beveilig gegevens voldoende tegen verlies of onbevoegde toegang en meld eventuele datalekken
• Regel voldoende waarborgen als je persoonsgegevens aan derden verstrekt
• Vertel de betrokkene wat u doet met zijn gegevens (checklist privacyverklaring)
• Proportionaliteit en subsidiariteit

Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.