Is het melden van datalekken altijd noodzakelijk?

Aantal meldingen datalekken flink gestegen in Duitsland

Is het melden van datalekken altijd noodzakelijk?

Volgens des 24ste Datenschutz- und Informationsfreiheits-bericht van de Landesbeauftragten für Datenschutz und Informationsfreiheit in Noordrijn-Westfalen is het aantal meldingen sinds de invoering van de algemene verordening gegevensbescherming (hierna AVG) in mei 2018 explosief toegenomen.

In de periode januari tot mei 2018 – de periode voor de invoering van de AVG – kwam bij de toezichthoudende autoriteit in Noodrijn-Westfalen 61 meldingen van datalekken binnen. In de resterende periode van 2018 kwamen meer dan 1200 meldingen binnen.

 

 

De top drie meldingen die de toezichthoudende autoriteit binnenkreeg waren:

  1. verkeerd geadresseerde post en e-mails;
  2. niet gesloten enveloppen;
  3. zichtbare e-mailadressen in e-mails (bij meerdere geadresseerden).

Zulke storingen werden meestal veroorzaakt door fouten of onzorgvuldigheid van de werknemers, d.w.z. menselijke fouten. Volgens de Landesbeauftragten für Datenschutz und Informationsfreiheit in Noordrijn-Westfalen zijn door bedrijven uit onzekerheid ook veel onbeduidende meldingen van datalekken gedaan.

Wat is een data-inbreuk?

Er is sprake van een inbreuk op de gegevensbescherming wanneer de bescherming van persoonsgegevens wordt aangetast. Bij een data-inbreuk gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Hierdoor kunnen de betrokken personen namelijk ook schade leiden. De term “data-inbreuk” komt niet voor in de wet. In Nederland spreekt men vaak ook van een datalek of in Duitsland van een Datenpanne. In de plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’.

Wanneer en aan wie moet een datalek gemeld worden?

Bij een data-inbreuk moet een bedrijf onmiddellijk handelen: er moet meteen een risicoanalyse worden uitgevoerd om te bepalen of er een meldingsplicht bestaat. Indien vastgesteld wordt dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden en het waarschijnlijk is dat de inbreuk een risico vormt voor de rechten en vrijheden van natuurlijke personen, moet de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, melden aan de bevoegde toezichthoudende autoriteit. In een volgende stap moeten de verwerkingsverantwoordelijke de betrokkenen van de inbreuk in kennis stellen.

Een meldingsplicht bestaat in ieder geval wanneer hackers gebruikersnamen, wachtwoorden of andere gegevens van klanten in handen krijgen. Een e-mail met reclame die naar een groot aantal e-mailontvangers wordt gestuurd met een openlijk zichtbare mailinglijst - bijvoorbeeld indien de mailinglijst is opgenomen in "cc" en niet in "bcc" - moet ook aan de toezichthoudende instantie worden gemeld.

Heeft u juridische advies nodig bij het opzetten van interne controlemechanismes, een risicoanalyse of de melding van een data-inbreuk? Neem dan contact op met Dr. Romy Latka.

 

  • gepubliceerd : maandag, 09 september 2019