Kort antwoord
Een datalek moet je intern altijd documenteren. Is er risico voor betrokkenen? Dan meld je het binnen 72 uur bij de Autoriteit Persoonsgegevens. Is er een hoog risico? Dan informeer je ook de betrokkenen zelf, zonder onnodige vertraging.
Wat is een datalek?
De AVG definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging, onbevoegde verstrekking of onbevoegde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.”
Een datalek gaat dus niet alleen over hacken. Het omvat ook menselijke fouten, verlies van apparatuur en onbedoelde verstrekking.
Voorbeelden van datalekken
- Een hacker heeft toegang gekregen tot je klantenbestand
- Een laptop of USB-stick met persoonsgegevens is kwijt of gestolen
- Een e-mail met persoonsgegevens is naar de verkeerde ontvanger gestuurd
- Een e-mail met meerdere ontvangers is verstuurd met cc in plaats van bcc
- Een medewerker heeft zonder toestemming klantgegevens geraadpleegd
- Ransomware heeft bestanden met persoonsgegevens versleuteld
- Een clouddienst heeft gegevens per ongeluk openbaar gemaakt
Niet elk incident is meldingsplichtig — de ernst hangt af van de aard van de gegevens en de waarschijnlijke gevolgen voor betrokkenen.
Wanneer moet je een datalek melden?
De meldplicht aan de Autoriteit Persoonsgegevens geldt als het datalek “waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” Factoren die het risico bepalen:
- Welk type gegevens zijn betrokken? (bijzondere categorieën = hogere urgentie)
- Hoeveel personen zijn getroffen?
- Kunnen de gegevens voor identiteitsfraude of phishing worden misbruikt?
- Is de schade al opgetreden of nog te beperken?
Twijfel je of je moet melden? De Autoriteit Persoonsgegevens hanteert het standpunt: meld bij twijfel. Een onterechte melding heeft geen consequenties; een gemiste meldplicht wél.
Stappenplan bij een datalek
Beperk de schade
Beveilig het systeem, verander wachtwoorden, verwijder onbedoeld openbare bestanden of ontkoppel getroffen apparatuur van het netwerk.
Documenteer het incident
Leg vast wat er is gebeurd, welke gegevens zijn getroffen, hoeveel personen, wat de oorzaak was en welke maatregelen je hebt genomen. Dit is altijd verplicht, ook als je niet hoeft te melden.
Beoordeel de meldplicht (binnen 72 uur)
Is er risico voor betrokkenen? Meld het datalek via het meldloket van de Autoriteit Persoonsgegevens. Houd er rekening mee dat de 72-uurtermijn ingaat zodra je weet — of had moeten weten — dat er een datalek is.
Informeer betrokkenen (bij hoog risico)
Is er een hoog risico voor de betrokkenen — bijv. bij financiële gegevens, medische informatie of identiteitsdiefstal? Dan moet je ook de getroffen personen individueel informeren over wat er is gebeurd en wat ze zelf kunnen doen.
Wat zijn de gevolgen van niet melden?
De Autoriteit Persoonsgegevens kan bij het niet of te laat melden van een meldingsplichtig datalek een boete opleggen. Boetes lopen op tot 4% van de jaaromzet of €20 miljoen. In de praktijk zijn de eerste sancties doorgaans waarschuwingen, maar bij herhaalde overtredingen of grove nalatigheid zijn hogere boetes reëel.
Zorg dat je privacyverklaring ook vermeldt hoe je met datalekken omgaat. Lees meer over wanneer een privacyverklaring verplicht is en stel direct gratis je privacyverklaring op.