Verrek, is dat ook een datalek?

8 november 2022 / in Nieuws / door Sippe van der Tas

Regelmatig verschijnen er artikelen en nieuwsberichten met als onderwerp dat de sinds 2016 geldende Algemene Verordening Gegevensbescherming (AVG) nog onvoldoende bij bedrijven en overheden wordt nageleefd.

Gezien de vele misverstanden rond de inhoud van de AVG (‘het mag niet van de AVG’, terwijl er veel kan als je een goed verhaal hebt waarom je persoonsgegevens wilt bewaren, verstrekken etc.) lijkt het ook zo te zijn dat het kennisniveau over de AVG nog onvoldoende is.

Mijn ervaring is dat dit niet geldt met betrekking tot het fenomeen ‘datalekken’. Geen wonder, want dat is heel concreet en de media berichten daar regelmatig over. Een recent voorbeeld is het datalek dat zich voordeed bij het bedrijf ID-ware. ID-ware verzorgt de productie van toegangspasjes voor bedrijven en overheden en door een hack zijn persoonsgegevens van onder andere Eerste en Tweede Kamerleden ‘gelekt’.[1] Dat dit kan leiden tot een risico voor degenen van wie persoonsgegevens zijn gelekt (in AVG-termen: ‘betrokkenen’) zal duidelijk zijn.

Ik moet u echter teleurstellen: een datalek betreft niet alleen het ‘lekken’ (zoals een waterkraan!) van persoonsgegevens, bijvoorbeeld door het verliezen van een onbeveiligde USB-stick of het laten liggen van documenten met persoonsgegevens in de trein. Ik leg het hieronder uit.

De term ‘datalek’ komt in de AVG niet voor

Definitie 12 van artikel 4 van de AVG, en in samenhang daarmee de artikelen 33 en 34 (procedure bij datalekken), spreekt niet over een ‘datalek’, maar over een ‘inbreuk in verband met persoonsgegevens’ en definieert dit als volgt:

‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’

De Autoriteit Persoonsgegevens (AP) onderscheidt terecht drie soorten datalekken:

  1. Inbreuk op de vertrouwelijkheid van persoonsgegevens
    Dit is het ‘klassieke’ datalek. Daarvan is sprake bij het onrechtmatig prijs geven van of toegang mogelijk maken tot persoonsgegevens.Voorbeeld: verlies van een onbeveiligde USB-stick met persoonsgegevens of de hack bij ID-ware.
  2. Inbreuk op de integriteit van persoonsgegevens
    Hierbij gaat het om een onjuiste of onbevoegde wijziging van persoonsgegevens.
    Voorbeeld: het foutief aanpassen van de indiensttredingsdatum van een medewerker in de personeelsadministratie.
  3. Inbreuk op de beschikbaarheid van persoonsgegevens
    Daarvan is sprake bij verlies van toegang tot, of vernietiging van, persoonsgegevens.
    Voorbeeld: het onleesbaar worden of vernietigen van medische gegevens van een patiënt in het ICT-systeem van een ziekenhuis.

Niet alleen een ‘klassiek’ datalek, maar ook de onder 2 en 3 bedoelde datalekken, die zijn veroorzaakt door onvoldoende beveiliging (bijvoorbeeld resp. onvoldoende controle/te ruime autorisatie en verouderd ICT-systeem) kunnen schade veroorzaken bij degene wiens persoonsgegevens zijn gewijzigd of verloren. Denk aan het niet uitbetalen van een jubileumgratificatie bij een onjuist ingevoerde en later in de tijd liggende indiensttredingsdatum (voorbeeld bij 2) of het vernietigen van patiëntgegevens, waardoor een zieke patiënt niet de juiste zorg kan krijgen en mogelijk zelfs overlijdt.

In geval van een datalek heeft een verwerkingsverantwoordelijke bij een risico voor een of meer betrokkenen de wettelijke plicht om daarvan melding te doen bij de AP en mogelijk ook bij de betrokkenen zelf. In dat verband is het voor organisaties verstandig om de kennis over soorten datalekken op peil te brengen en te houden.

Lex Digitalis is een full service bureau op het gebied van privacy, data en cybersecurity. Ook op het gebied van datalekken kan Lex Digitalis u adviseren en bijstaan. Te denken valt daarbij aan het bijbrengen van kennis, het opstellen van een datalekregister of een datalekprocedure, het voorkomen van datalekken, het beoordelen van of er wel of geen sprake is van een datalek en het formuleren van meldingen aan de AP en aan betrokkenen. U kunt daarover contact met mij opnemen (06 – 28610416, sippe.vandertas@lexdigitalis.nl) of met een van mijn collega’s.

[1] Zie: https://dutchitchannel.nl/706349/id-ware-bevestigt-hack-in-een-online-verklaring.html