Datalekken, een praktische introductie.

​

Datalekken is een woord dat steeds vaker voorkomt in het nieuws van alledag. Onlangs nog berichtte dagblad De Telegraaf nog dat gevoelige stukken uit de rechtbank van Amsterdam zouden zijn gelekt. Het betrof een groot aantal gevoelige stukken over lopende zaken, die door bouwvakkers uit het oud vuil zijn gevist en zijn gedeeld met De Telegraaf. Het spreekt vanzelf dat een dergelijk incident het vertrouwen in de overheid weinig goeddoet, maar het wijst er ook op dat het merendeel van de burgers en overheidsinstanties onbekend zijn met de basisprincipes van privacy en databescherming. Hier volgt een beknopt praktische inleiding.

​

Welke informatie moet nu eigenlijk beschermd worden?

Het spreekt vanzelf dat het vervelend is wanneer inventarislijsten en jaarcijfers van een onderneming worden gelekt. Dit is echter niet waar de wetgeving rondom datalekken over gaat. Wanneer wordt gesproken van datalekken, dan wordt het lekken van persoonsgegevens bedoeld. Persoonsgegevens zijn gegevens die betrekking hebben op een indentificeerbare natuurlijke persoon. Persoonsgegevens zijn daarom altijd in zekere zin in verband te brengen met mensen. Voorbeelden van persoonsgegevens zijn:

• kopieën van paspoort of ID-kaart;

• loonstrookjes;

• medisch dossier;

• bankafschriften;

• strafdossiers;

• klantenbestand van een onderneming.

​

Gegevens die alleen maar betrekking hebben op rechtspersonen (zoals bedrijven) zijn in principe geen persoonsgegevens. Natuurlijk kunnen ook bedrijfsgegevens in tweede instantie wel betrekking hebben op natuurlijke personen, dus vraag bij twijfel altijd advies van een specialist.

 

Waarom moeten persoonsgegevens worden beschermd?

Het lekken van persoonsgegevens kan ernstige gevolgen hebben voor de persoon waarvan de gegevens op straat zijn komen te liggen. Slachtoffers van identiteitsfraude lijden aanzienlijke finananciële, maar ook sociale schade. Discriminatie en afpersing kunnen ook te maken hebben met het lekken van persoonsgegevens en in sommige gevallen verhoogt het lekken van persoonsgegevens de kans op inbraak of ontvoering. Vast staat in ieder geval dat uw identiteit geld waard is en dat het daarom de moeite waard is om uw identiteit te beschermen.

 

Wie is wie bij datalekken?

Het privacyrecht kent drie rollen met betrekking tot persoonsgegevens:

1. Betrokkene;

2. Verantwoordelijke;

3. Bewerker/verwerker.

 

De betrokkene is de natuurlijke persoon waar de persoonsgegevens betrekking op hebben. In geval van een kopie van het paspoort van Piet, is Piet de betrokkene.

De verantwoordelijke is de persoon of organisatie die bepalen wat er met de persoonsgegevens gebeurt (hoe en waarom de persoonsgegevens worden verwerkt). Als Piet (betrokkene) zijn paspoort kopie (persoonsgegeven) inlevert bij de bank om een rekening te openen bij de bank, dan is de bank verantwoordelijke, want de bank beslist wat er met de paspoortkopie gebeurt (of de kopie wordt opgeslagen, vernietigd, doorgestuurd etc.).

Een bewerker of verwerker of is een persoon of organisatie die los staat van de verantwoordelijke maar die in opdracht en ten behoeve van de verantwoordelijke bepaalde handelingen verricht met persoonsgegevens. Als de bank (verantwoordelijke) het paspoortkopie (persoonsgegeven) van Piet (betrokkene) doorstuurt naar Safecheck B.V. voor analyse, dan is Safecheck B.V. de bewerker/verwerker. Safecheck analyseert het paspoortkopie namelijk ten behoeve van de bank en met in achtneming van de instructies van de bank.

 

Wanneer is er sprake van een lek?

Natuurlijk is sprake van een datalek wanneer persoonsgegevens ‘op straat komen te liggen’. Vaak denkt men hier aan verlies of diefstal van persoonsgegevens. Toch zijn er ook andere situaties denkbaar. Indien persoonsgegevens onbedoeld zonder back-up worden gewist is bijvoorbeeld ook sprake van een datalek. Verder kan er ook van een datalek worden gesproken wanneer de mogelijkheid niet kan worden uitgesloten dat persoonsgegevens aan onrechtmatige verwerking hebben bloot gestaan. Een ander sprekend voorbeeld is een brand waarbij papieren dossiers samen met de digitale files (op de lokale schijven van aanwezige computers of servers) in vlammen opgaan. De persoonsgegevens zijn ongewild vernietigd zonder back up, wat een datalek inhoudt.

 

Wanneer moet een datalek gemeld worden?

Een datalek moet gemeld worden wanneer persoonsgegevens van gevoelige aard zijn gelekt. Het kan hier bijvoorbeeld gaan om informatie over iemands ras, politieke voorkeur of gezondheid. Een datalek moet tevens worden gemeld indien het lekken van de persoonsgegevens voor de betrokkene ernstig nadelige gevolgen zou kunnen hebben. Denk hierbij aan het lekken van financiële gegevens, of gegevens die zouden kunnen worden gebruikt voor identiteitsfraude. De precieze afweging of melding noodzakelijk is moet altijd door een specialist gemaakt worden.

 

Wie moet melden?

De verantwoordelijke moet zorgdragen voor tijdige melding, dat wil zeggen binnen 72 uur na ontdekking van het datalek. Het is daarom van groot belang dat een verantwoordelijke goede afspraken maakt met zijn bewerkers. Het schriftelijk vastleggen van de wederzijdse verplichtingen tussen verantwoordelijke en bewerker is een wettelijke verplichting. Het is van groot belang dat een aantal bepalingen rond de meldplicht wordt opgenomen. Win hierover altijd de kennis in van een deskundige, want het niet nakomen van de meldplicht kan een boete opleveren die oploopt tot €820.000,- per lek! Wij hebben het hier dan nog niet eens gehad over eventuele schadeclaims van betrokkenen en andere gedupeerden.

 

Waar moet ik melden?

Wanneer sprake is van een meldplichtig datalek, moet altijd melding worden gemaakt bij de Autoriteit Persoonsgegevens (AP). De AP is een bestuursorgaan dat toeziet op de naleving van de wet- en regelgeving omtrent privacy en databescherming. De AP heeft gespecialiseerde meldingsformulieren voor het online melden van een datalek. Een melding aan de AP moet zo snel als mogelijk na ontdekking van het datalek worden gedaan. De maximale tijd tussen ontdekking en melding bedraagt 72 uur. Let wel: dit zijn geen werkuren, maar gewone uren. Wie op donderdag een datalek ontdekt zal dus gedurende het weekend moeten melden.

 

In sommige gevallen moet een datalek naast aan de AP óók aan de betrokkene worden gemeld. Dit is het geval wanneer een datalek ernstige gevolgen kan hebben voor onder meer de financiële positie, identiteit of goed naam van de betrokkene. Laat u in voorkomende gevallen altijd bijstaan door een specialist.

 

Certafin is uw specialist op het gebied van privacy en datalekken, 365 dagen per jaar.