De meldplicht datalekken: hoe zit het nou eigenlijk?
Sinds 1 januari heeft Nederland een brede meldplicht datalekken. Met deze meldplicht neemt Nederland een voorschot op de nieuwe Europese privacywetgeving, die alle Europese landen verplicht een data breach notification in te stellen. De meldplicht draagt bij aan transparantie en accountability van organisaties. Maar wat is nou precies de procedure en wat moet je als organisatie doen als het zover is?
Nog even voor de duidelijkheid, een datalek is:
- een beveiligingsincident;
- waarbij persoonsgegevens zijn gelekt;
- dat mogelijk leidt tot ernstige gevolgen voor de privacy van mensen in het bestand.
Als bij een datalek kans is op privacyschending van consumenten, moet het lek binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.
Nader onderzoek
Organisaties kunnen de melding doen op de website van de Autoriteit Persoonsgegevens. Achter het online meldingsformulier zit een algoritme dat de meldingen codeert volgens een stoplichtsysteem. Alhoewel het niet het ‘hoogste doel’ is van de Autoriteit Persoonsgegevens om boetes uit te delen, heeft een aantal meldingen geleid tot nader onderzoek. Hierbij wordt in eerste instantie gekeken hoe de databeveiliging binnen een bedrijf georganiseerd is.
Tot op heden zijn 400 meldingen van een datalek binnengekomen. Dat vertelde Udo Oelen, hoofd toezicht private sector, op de voorlichting over de meldplicht datalekken van marketingbranchevereniging DDMA en Goede Doelen Nederland. De toezichthouder, die eerder aangaf te rekenen op 66.000 meldingen per jaar, vindt dit relatief weinig en vermoedt dat niet alle lekken gemeld worden. Daarom wordt ook gekeken naar andere signalen in de markt. De eerste controles hebben al plaatsgevonden.
Wanneer is een datalek ernstig?
Bedrijven worstelen nog met de toepassing van deze meldplicht. Wanneer is er nou sprake van een ernstig datalek?
1. Direct en indirect gevoelige informatie
Er is sprake van ernstige gevolgen als er risico is op misbruik en fraude. Bij het lekken van financiële data, inloggegevens, BSN-achtige gegevens of gegevens die kunnen leiden tot discriminatie of uitsluiting, zoals informatie over verslavingen, seksuele voorkeur, ras, levensovertuiging of gezondheid, is er snel sprake van ernstige gevolgen voor privacy en moet een lek gemeld worden.
Ook als data gelekt zijn die niet direct gevoelig zijn, maar in verkeerde handen wel gebruikt kunnen worden om iemand te benadelen, moet je dit melden. Denk bijvoorbeeld aan de klantdatabase van een goed doel dat onderzoek doet naar een zeldzame ziekte. Kans is groot dat deze donateurs zelf of in hun nabije omgeving getroffen zijn door de ziekte en die informatie kan makkelijk misbruikt worden.
2. Grootte database
De kans op misbruik is ook groter als het om een grote dataset gaat, dus als je veel gegevens per persoon verzamelt, of gegevens van veel personen. In dat geval kan het ook zijn dat je moet melden als er lek is bij een grote base met minder gevoelige gegevens zoals NAW-gegevens en e-mailadressen, omdat een grote database in handen van criminelen bijvoorbeeld misbruikt kan worden voor (phishing) scams.
Adverteerder ook in de cloud verantwoordelijk
De melding van een datalek moet gedaan worden door de eigenaar van de database. Dit geldt ook als de organisatie onderaannemers inschakelt, zoals een callcenter, reclamebureau of socialmediaspecialist, om zijn data te bewerken. De organisatie moet dan schriftelijke afspraken maken met een bewerker over de termijn waarbinnen en de wijze waarop hij een lek bij hem moet melden.
De Autoriteit Persoonsgegevens begrijpt de moeilijkheid in gevallen waar organisaties werken met dienstverleners in het buitenland, denk bijvoorbeeld aan cloud-, SaaS- of PaaS-aanbieders. Het feit dat deze dienstverleners tegen adverteerders zeggen ‘slikken of stikken’, ontslaat de adverteerder echter nooit van zijn eigen verantwoordelijkheid.
Notificatie van de consument
Als een datalek mogelijk ernstige gevolgen voor de privacy van mensen in het bestand heeft, is de organisatie verplicht het lek ook aan hen melden. Een organisatie moet in ieder geval globaal aangeven wat het lek inhoudt, waar iemand meer informatie kan vinden over het lek en welke maatregelen hij kan nemen om de gevolgen te beperken. Hierbij moet alles in het werk gesteld worden om mensen te informeren, en kan gebruikgemaakt worden van e-mail, telefoon en/of een melding op de website. Of als een bestand helemaal weg is: “Een paginagrote advertentie in de Telegraaf”, zegt de Autoriteit Persoonsgegevens.
Vanuit DDMA hebben we een handige handleiding over het informeren van klanten bij een datalek (pdf) gepubliceerd. De meldplicht is niet alleen een zaak voor de IT- en de juridische afdeling, de informatievoorziening is minstens zo belangrijk. Consumenten hebben het recht om te weten waar ze aan toe zijn, maar ook voor bedrijven zelf is een goede informatievoorziening naar hun consumenten cruciaal. Communicatie kan het consumentenvertrouwen en de reputatie namelijk maken of breken.
Als compliance officer van branchevereniging DDMA ben ik betrokken bij verschillende lobbytrajecten in Den Haag en Europa. Daarnaast ben ik lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.
Ik ben toch niet de enige die denkt dat juist de overheid in deze al het verkeerde voorbeeld geeft en zeker alle gevallen niet meldt.
Dan heb ik het nog niet eens over de gegevens die ze verzamelen waarvan ik denk dat dat bepaald geen noodzaak is om te hebben en meer gegevens betekent meer risico.