In een eerdere post hebben wij uiteengezet hoe belangrijk het is om aan privacyborging te doen. Dat persoonsgegevens effectief en adequaat beschermd dienen te worden, volgt uit de Algemene Verordening Gegevensbescherming (hierna:AVG). Het kan helaas voorkomen dat er persoonsgegevens verloren gaan, gewist worden of zelfs gestolen worden. Dat laatste kan gebeuren via een hack of schadeveroorzakende software zoals ransomware. Datalekken komen helaas steeds vaker voor. In de praktijk zien wij dat de Autoriteit Persoonsgegevens met name voor wat betreft het doen van een te late melding van een datalek vaker handhavend optreedt. In deze post zullen wij dieper ingaan op de meldingsplicht. Wij zullen daarbij een actueel voorbeeld uit de praktijk betrekken. Kortom: Privacy en handhaving.
Wat is een datalek?
De term ‘datalek’ is formeel niet in de AVG opgenomen. In plaats daarvan wordt in de AVG een ‘inbreuk in verband met persoonsgegevens’ omschreven. Uit artikel 4 lid 12 van de AVG volgt dat onder een dergelijke inbreuk (een datalek) moet worden verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmachtige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking/toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Van een datalek is dus in verschillende gevallen sprake.
Wat te doen bij een datalek
Indien er sprake is van een datalek, dient men snel tot actie over te gaan om het datalek te beëindigen en de eventuele negatieve gevolgen voor de betrokken personen te beperken. De betrokken personen dienen vaak ook ingelicht te worden over het datalek. Op grond van artikel 33 lid 1van de AVG dient degene die verantwoordelijk is voor de verwerking van de gegevens (de verwerkingsverantwoordelijke) een datalek zonder onredelijke vertraging te melden. In principe moet de verwerkingsverantwoordelijke het datalek uiterlijk 72 uur nadat hij daarvan kennis heeft genomen melden. De melding dient op grond van artikel 55 AVG aan de bevoegde toezichthoudende autoriteit te worden gedaan, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uren plaatsvindt, dient men een met redenen omklede motivering mee te sturen bij de (late) melding. Bij het niet of niet tijdig melden, kan de Autoriteit Persoonsgegevens (hierna: AP) een boete opleggen. Bovendien kunnen de betrokken personen vanwege privacyrechtelijke inbreuken bij de rechter een actie tot schadevergoeding instellen.
Recente ontwikkelingen
Al eerder zagen wij dat datalekken steeds vaker voorkomen. Zo is gebleken dat bij de GGD sprake was van een datalek. Bij dit datalek zouden mogelijk gevoelige gegevens, zoals BSN-nummers, van burgers gestolen zijn. Ook Facebook heeft recent moeten constateren dat er een datalek binnen de organisatie heeft plaatsgevonden. De gegevens van maar liefst 533 miljoen gebruikers zijn op straat komen te liggen, waaronder die van 5,4 miljoen Nederlanders. Voorts is bekend geworden dat hackers gegevens van RDC, een onderneming die ICT-diensten aanbiedt aan garagehouders in Nederland, buit hebben gemaakt. Deze gegevens werden vervolgens online verhandeld. Dit zijn een paar voorbeelden uit de recente praktijk. Een aantal van deze organisaties heeft wel een melding gemaakt bij de privacytoezichthouder terwijl andere organisaties dat niet hebben gedaan. De keuze om wel of niet tot melding over te gaan, ligt immers bij de organisaties zelf. Het komt ook nog wel eens voor dat er wel wordt gemeld, maar dat de melding niet tijdig is gedaan. Dit gebeurde bij Booking.com.
De AP heeft Booking.com onlangs een boete op van € 475.000 opgelegd omdat Booking.com een datalek te laat bij de toezichthouder heeft gemeld. Bij het datalek hebben criminelen persoonsgegevens van meer dan 4.000 klanten buitgemaakt, zoals creditcardgegevens van bijna 300 slachtoffers. De melding gebeurde 22 dagen te laat. De AP nam dit de boekingssite kwalijk, omdat hackers de mogelijkheid kregen om langer door te gaan met hun inbreukmakende activiteiten. Booking.com verweerde zich door te stellen dat het in de praktijk niet altijd mogelijk is om de aard, omvang en impact van een datalek te onderzoeken en vervolgens ook nog eens tijdig een melding te doen bij toezichthouder. De AP gaat mee in het standpunt dat een onderzoek naar de omvang en precieze impact van een inbreuk langer dan 72 uur in beslag kan nemen. De AP stelt daarom dat het mogelijk is om op grond van artikel 33 lid 3 AVG een melding in stappen of pro-forma te doen totdat de precieze aard en context van het datalek vastgesteld kan worden. Dit neemt volgens de AP niet weg dat de melding van de inbreuk op grond van artikel 33 lid 1 AVG binnen de wettelijk voorgeschreven termijn van 72 uur moet plaatsvinden. Dit had Booking.com nagelaten, waardoor de AP uiteindelijk een boete heeft opgelegd aan de onderneming.
Heeft u vragen over privacyvraagstukken in het algemeen of datalekken in het bijzonder? Neem dan contact op met onze sectie privacyrecht. Wij beantwoorden graag uw vragen.
Zana Sami, sectie privacyrecht