Op de dag van de privacy, 28 januari, is het belangrijk om stil te staan bij de actualiteiten omtrent privacy. Deze week verscheen er in het nieuws dat de GGD, Nederlands meest bekende instantie in deze coronatijden, te maken heeft gehad met een datalek. Uit recent onderzoek van RTL-nieuws is gebleken dat er grootschalig gehandeld is in persoonsgegevens van miljoenen Nederlanders. Deze persoonsgegevens waren afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dit datalek, dat al driekwart jaar aanwezig is, heeft er voor gezorgd dat er verschillende soorten persoonsgegevens op straat kwamen te liggen. In dit geval ging het om adressen, telefoonnummers, burgerservicenummers en testresultaten van burgers. De Autoriteit Persoonsgegevens geeft aan dat conform de Algemene Verordening Gegevensbescherming (AVG), alleen medewerkers van een zorgorganisatie die een behandelrelatie hebben met de patiënt toegang mogen hebben tot patiëntgegevens. Dit kan naast artsen en verpleegkundigen, ook het overig personeel van ondersteunende afdelingen zijn. Het datalek bij de GGD heeft er dus voor gezorgd dat de toegang tot deze gegevens niet beperkt is gebleven tot enkel de voorgenoemde actoren.
Wat is een datalek?
Datalekken zijn, helaas, niet ongewoon. Zo is uit recent onderzoek gebleken dat Nederland de 2e positie in Europa inneemt voor wat betreft het aantal (gemelde) datalekken. Een zekere paradox begint dan ook merkbaar te worden. De bewustwording, alsmede de regelgeving, omtrent privacy is aan het toenemen. Tegelijkertijd lijken privacyrechtelijke inbreuken ook vaker voor te komen in de praktijk. Datalekken zijn daar actuele voorbeelden van. In dat kader is het goed om te weten wat nou precies een datalek is en hoe men dient om te gaan met een (potentieel) datalek.
De term ‘datalek’ komt formeel niet voor in de AVG. In de plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’. Meer concreet, uit artikel 4 lid 12 van de AVG volgt dat onder een datalek moet worden verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmachtige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Betrokken personen dreigen schade te lijden door de handelingen zoals hierboven genoemd.
Wat te doen bij een datalek
Indien er sprake is van een datalek, dan dient men snel tot actie over te gaan om het datalek te beëindigen en de eventuele negatieve gevolgen voor de betrokken personen te beperken. De betrokken personen dienen vaak ook ingelicht te worden over het datalek. Tevens kan het zijn dat men, afhankelijk van de aard en de ernst van het datalek binnen 72 uur een datalek moet melden bij de Autoriteit Persoonsgegevens. Bij het niet of niet tijdig melden, riskeert men een boete. Ook het niet of niet tijdig melden van het datalek bij de betrokken personen kan leiden tot een boete. Bovendien kunnen de betrokken personen een actie tot schadevergoeding instellen bij de rechter vanwege mogelijke inbreuken.
Nieuwe guidelines datalekmeldingen
Dat een datalek en datalekmeldingen zeer actueel zijn, blijkt ook uit de ontwikkelingen op Europees niveau. De European Data Protection Board (EDPB) heeft onlangs nieuwe guidelines over datalekmeldingen vastgesteld. De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep (voorganger van de EDPB). Zo worden organisaties geholpen bij de maatregelen die ze moeten nemen bij een datalek. In de guidelines staat een lijst met veel voorkomende soorten datalekken (zoals ransomware-aanvallen en zoekgeraakte/gestolen apparatuur). Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.
Heeft u vragen over privacyvraagstukken in algemeen of datalekken in het bijzonder? Neem dan contact op met onze sectie privacyrecht. Wij beantwoorden graag uw vragen.
Zana Sami, advocaat Privacyrecht