Sorry, helaas zijn uw gegevens betrokken bij een datalek

16 november 2023 / in Nieuws / door Leandra Beerendonk

Het informeren van betrokkenen na een datalek 

We zijn allemaal bekend met datalekken. Hoewel het vervelend is, is het niet ongewoon in een werkomgeving waar mensen werken. Hoe een datalek wordt afgehandeld, is echter wel belangrijk. In veel gevallen is het verplicht om het lek te melden bij de Autoriteit Persoonsgegevens (AP) en soms zelfs bij de betrokkenen. Ik heb uiteengezet waarom dit zo belangrijk is.

Wat is een datalek?

Voordat we verder gaan, is het belangrijk om te begrijpen wat de term “datalek” betekent. De AVG spreekt niet over een “datalek”, maar over een inbreuk in verband met persoonsgegevens. Dit omvat gebeurtenissen die leiden tot de vernietiging, het verlies, de aanpassing of de ongeautoriseerde beschikbaarheid van persoonsgegevens. Dergelijke incidenten kunnen bijvoorbeeld worden veroorzaakt door hacken, verlies van fysieke opslagapparaten, ongeautoriseerde toegang door medewerkers of andere gebeurtenissen die de vertrouwelijkheid en integriteit van persoonsgegevens in gevaar brengen.

Maar waarom is het dan zo belangrijk dat betrokkenen worden geïnformeerd?

Menig privacy professional zal deze vraag toegeworpen krijgen wanneer hij/zij betrokken is bij de afhandeling van een datalek. Ik geef steeds hetzelfde antwoord; we zijn het zowel ethisch als juridisch verplicht. De wet bepaalt wat je moet doen, maar ethiek gaat over wat je zou moeten of moeten willen doen. Respect voor de privacy van betrokkenen, het creëren van transparantie en vertrouwen en bescherming tegen verdere schade zijn daarbij de belangrijkste kernwaarden.

  1. Respect voor privacy van betrokkenen

Het afwegen van privacy tegenover andere belangen, zoals veiligheid en transparantie, is een voortdurende uitdaging. Over het belang van privacy kan ik een heel artikel schrijven, maar vandaag houden we het kort; privacy stelt individuen in staat om controle te hebben en houden over hun privéleven, persoonlijke informatie en beslissingen. Het is een fundamenteel onderdeel van de menselijke waardigheid en is vastgelegd in internationale mensenrechtenverklaringen en -verdragen.

Een goede bescherming van persoonsgegevens is van essentieel belang om mensen te beschermen tegen discriminatie op basis van persoonlijke kenmerken. De bescherming van persoonsgegevens is inherent aan de eerbiediging van de persoonlijke levenssfeer. Het waarborgt dat gevoelige informatie niet wordt gebruikt om ongegronde vooroordelen te versterken en is daarnaast van cruciaal belang voor een goed functionerende democratie. Het geeft ons de vrijheid om onze meningen te uiten, deel te nemen aan politieke activiteiten zonder angst voor represailles of monitoring door de overheid.

Een organisatie die het recht op privacy erkent en beschermt, toont aan dat zij zich inzet voor de beginselen van democratie, vrijheid en rechtvaardigheid. Privacy is echter niet alleen een kwestie van wettelijke verplichtingen. Het vormt ook de kern van menselijke waardigheid en zelfbeschikking.

  1. Transparantie en vertrouwen

Open communicatie omtrent het voordoen van datalekken en de maatregelen die daaromtrent worden genomen, getuigt van een transparante organisatie. Het is een essentiële stap in het opbouwen en behouden van vertrouwen bij burgers en andere belanghebbenden. Door het erkennen van een datalek en het nemen van gepaste maatregelen, tonen organisaties hun betrokkenheid bij gegevensbescherming en versterken ze hun reputatie. Het toont aan dat de organisatie verantwoordelijkheid durft te nemen voor fouten en bereid is om daar eerlijk over te zijn. Deze proactieve benadering bevordert de perceptie van een betrouwbare en integere (overheids)organisatie die handelt in het belang van de burger.

  1. Bescherming tegen verdere schade

Betrokkenen op de hoogte stellen draagt bij aan het voorkomen van verdere schade, zoals identiteitsdiefstal of financieel verlies, doordat zij passende maatregelen kunnen nemen. Ook wanneer er al enige tijd is verstreken kan het voor betrokkenen helpen om op zijn minst extra alert te kunnen zijn op het gebruik van hun gegevens of bijvoorbeeld verdachte e-mails.

  1. Wettelijke verplichtingen

Wanneer een datalek zich voordoet, brengt dat ook verplichtingen met zich mee, zoals het melden aan de AP en betrokkenen. In dit artikel focus ik me met name op de plicht tot het informeren van de betrokkenen. Volgens artikel 34 van de AVG zijn organisaties namelijk verplicht betrokkenen te informeren over een datalek wanneer de inbreuk een hoog risico vormt voor de rechten en vrijheden van betrokkenen. Het niet naleven van deze voorschriften kan leiden tot juridische sancties en boetes.

Hoog risico

De AVG heeft geen duidelijke definitie voor het begrip “hoog risico” vastgelegd, waardoor er een zekere mate van interpretatie bestaat. Het is dus aan de organisatie die verantwoordelijk is om nauwkeurig te beoordelen of er een mogelijk risico bestaat voor de betrokkenen en vast te stellen of het datalek als “hoog risico” kan worden aangemerkt. EDPB Guideline 9/2022 geeft wel wat handvatten voor het bepalen of er sprake is van een hoog risico: namelijk wanneer de inbreuk mogelijk leidt tot fysieke, materiële of immateriële schade voor de personen van wie de gegevens zijn gelekt. Een verhoogde kans op bijvoorbeeld identiteitsfraude, reputatieschade, schending van het beroepsgeheim en/of discriminatie geven bijvoorbeeld aan of er sprake is van een hoog risico voor betrokkenen. Als er inderdaad sprake is van een hoog risico, dan geldt de verplichting om de betrokkenen daarover te informeren.

Onverwijld

Zodra een datalek bekend is bij de betrokken organisatie, dienen de betrokken partijen onverwijld op de hoogte te worden gesteld. Dit houdt in dat er binnen een redelijke termijn na het ontdekken van het datalek melding moet worden gemaakt aan de betrokkenen. Er kunnen redenen zijn om hiermee te wachten, bijvoorbeeld om veiligheidsmaatregelen te treffen of om onderzoek te doen naar de omvang en oorzaak van het datalek. Echter, onnodige vertraging dient te worden vermeden.

Informatie die moet worden verstrekt

Artikel 34 van de AVG verplicht organisaties om betrokkenen op een duidelijke en begrijpelijke manier te informeren over datalekken en de mogelijke gevolgen daarvan. Om aan deze verplichting te voldoen, moeten organisaties specifieke informatie verstrekken, waaronder:

  • De aard van het datalek, inclusief welke persoonlijke gegevens precies zijn getroffen.
  • De mogelijke gevolgen en risico’s van het datalek voor de rechten en vrijheden van betrokkenen.
  • De maatregelen die zijn genomen of zullen worden genomen om het datalek op te lossen en toekomstige datalekken te voorkomen.
  • Contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon van wie betrokkenen meer informatie kunnen krijgen.

Uitzonderingen op de plicht tot informeren

Er zijn enkele uitzonderingen op de verplichting om betrokkenen te informeren (artikel 34 AVG), die ik niet zal benoemen. Het is belangrijk om op te merken dat deze uitzonderingen zorgvuldig en aantoonbaar moeten worden beoordeeld. De ‘keuze’ van een organisatie om gebruik te maken van een uitzonderingsgrond, mag uiteraard niet nadelig zijn voor de rechten en vrijheden van betrokkenen.

Conclusie

Het informeren van betrokkenen na een datalek is een essentiële wettelijke verplichting voor organisaties die persoonsgegevens verwerken. Artikel 5 en 34 van de AVG onderschrijft het belang van transparantie en het beschermen van de rechten en vrijheden van betrokkenen. Organisaties moeten zorgvuldig beoordelen of een datalek een hoog risico inhoudt en vervolgens betrokkenen onverwijld op de hoogte stellen van de inbreuk, inclusief de mogelijke gevolgen en de getroffen maatregelen. Het naleven van de ethische en juridische plicht tot informeren na een datalek is van vitaal belang voor het handhaven van een betrouwbare en verantwoorde omgang met persoonsgegevens.