Datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).


Meldloket Autoriteit Persoonsgegevens

Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.

In het privacystatement formulier meldplicht datalekken is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.


Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.


Voorbeelden datalekken

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.


Beleidsregels meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.


Datalek t.g.v. Ransomware 

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

De verantwoordelijke kan er bij ransom- of cryptoware niet van uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.


Omvang inbreuk

Om de daadwerkelijke omvang van het datalek te bepalen, zal de organisatie onderzoek moeten doen. Hiermee kan de verantwoordelijke bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.

Als een verantwoordelijke geen onderzoek doet, moet hij ervan uit gaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn. 


Melden Autoriteit Persoonsgegevens

Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.

Dit houdt in dat organisaties (zowel bedrijven als overheden) het datalek bij de Autoriteit Persoonsgegevens moeten melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.


Informeren betrokkenen

Organisaties moeten de betrokkenen in sommige gevallen ook informeren over het datalek. Dit moet als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.


Meer informatie over datalekken

De Autoriteit Persoonsgegevens heeft een aantal vragen en antwoorden op een rij gezet voor organisaties die te maken hebben met een datalek waarbij ransomware is aangetroffen.