Wat zijn de criteria voor het melden van een datalek?
Een datalek moet u melden aan de Autoriteit Persoonsgegevens (AP) wanneer het incident een risico oplevert voor de rechten en vrijheden van de betrokken personen. Dat klinkt abstract, maar de AVG maakt het concreet: denk aan toegang door onbevoegden, verlies van gegevens of onbedoelde openbaarmaking. De meldplicht geldt voor vrijwel elke organisatie die persoonsgegevens verwerkt, van MKB-bedrijf tot zorginstelling. In dit artikel beantwoorden we de meest gestelde vragen over de criteria, termijnen en verplichtingen rondom het melden van een datalek.
Welke soorten incidenten tellen als een datalek?
Een datalek is elk beveiligingsincident waarbij persoonsgegevens verloren gaan, onbedoeld worden gedeeld of toegankelijk worden voor mensen die er geen recht op hebben. Het gaat dus niet alleen om hackers. Ook een verkeerd verstuurde e-mail, een kwijtgeraakte laptop of een medewerker die per ongeluk een bestand deelt met de verkeerde persoon telt als datalek.
De AVG onderscheidt drie categorieën:
- Vertrouwelijkheidslek: onbevoegden krijgen toegang tot persoonsgegevens
- Integriteitslek: gegevens worden onbedoeld gewijzigd of vernietigd
- Beschikbaarheidslek: gegevens zijn tijdelijk of permanent niet meer toegankelijk
Ransomware valt bijvoorbeeld onder alle drie tegelijk: gegevens worden versleuteld, mogelijk gestolen én tijdelijk onbeschikbaar. Dat maakt dit type aanval extra zorgwekkend voor de informatiebeveiliging van MKB-organisaties, die vaak minder herstelcapaciteit hebben dan grote ondernemingen.
Wanneer bent u verplicht een datalek te melden aan de AP?
U bent verplicht een datalek te melden aan de AP wanneer het incident waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen. Dat is de wettelijke drempel uit de AVG. Twijfelt u? Dan is de vuistregel: meld het. De AP beoordeelt liever een melding te veel dan een te weinig.
Factoren die bepalen of er sprake is van een meldplichtig risico, zijn onder andere:
- De aard van de gegevens (bijzondere categorieën zoals gezondheids- of financiële data en administratieve gegevens wegen zwaarder)
- Het aantal betrokken personen
- De kans dat de gegevens daadwerkelijk worden misbruikt
- Of de gegevens versleuteld waren op het moment van het incident
Verwerkt u als organisatie gegevens namens een andere partij, dan bent u de verwerker. In dat geval meldt u het lek niet zelf aan de AP, maar informeert u de verwerkingsverantwoordelijke zo snel mogelijk. Die neemt vervolgens de beslissing over melding.
Wanneer moet u ook de betrokkenen zelf informeren?
U moet de betrokkenen persoonlijk informeren wanneer het datalek waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden. Dit is een hogere drempel dan de meldplicht aan de AP, maar zodra die drempel is bereikt, is directe communicatie verplicht en dringend.
Denk aan situaties waarbij gevoelige gegevens zijn uitgelekt, zoals medische dossiers, financiële gegevens of inloggegevens. De betrokkenen moeten dan in begrijpelijke taal worden geïnformeerd over wat er is gebeurd, welke gegevens het betreft en welke maatregelen ze zelf kunnen nemen. Vage of technische communicatie voldoet niet. Mensen moeten begrijpen wat er op het spel staat en wat ze kunnen doen om zichzelf te beschermen.
Wat is de 72-uurstermijn en hoe telt u die?
De 72-uurstermijn begint te lopen op het moment dat uw organisatie redelijkerwijs op de hoogte had kunnen zijn van het datalek, niet pas wanneer u alle details kent. U hoeft dus niet te wachten tot het onderzoek volledig is afgerond. Een eerste, onvolledige melding is toegestaan en zelfs gewenst.
In de praktijk betekent dit: zodra een medewerker of systeem een incident signaleert dat mogelijk een datalek is, begint de klok te tikken. Vallen de 72 uur in het weekend of op een feestdag? Dat maakt niet uit, de termijn loopt gewoon door. U kunt de melding later aanvullen met meer informatie als die beschikbaar komt. Wat u niet kunt doen, is wachten tot u zeker weet wat er precies is misgegaan.
Voor organisaties zonder intern cybersecurity beleid of duidelijke escalatieprocedures is dit een reëel knelpunt. Als niemand weet wie verantwoordelijk is voor het herkennen en doormelden van incidenten, gaat er kostbare tijd verloren.
Welke datalekken hoeft u niet te melden?
U hoeft een datalek niet te melden aan de AP wanneer het incident waarschijnlijk geen risico oplevert voor de betrokkenen. Dat is bijvoorbeeld het geval als de gelekte gegevens aantoonbaar versleuteld waren met sterke encryptie en de sleutel niet is gecompromitteerd. In dat geval zijn de gegevens voor buitenstaanders onleesbaar en is het risico verwaarloosbaar.
Andere situaties waarbij melding doorgaans niet verplicht is: een intern document dat per ongeluk naar de verkeerde collega is gestuurd, zonder dat gevoelige persoonsgegevens zijn betrokken, of een tijdelijke storing waarbij geen gegevens zijn ingezien of verloren gegaan. Toch geldt ook hier: leg het incident altijd intern vast, ook als u besluit niet te melden. Die documentatieplicht geldt altijd.
Wat moet u intern vastleggen bij elk datalek?
Bij elk datalek, ook als u besluit het niet te melden, bent u verplicht het incident intern te documenteren. Dit is geen formaliteit maar een wettelijke eis onder de AVG. Het doel is dat de AP achteraf kan controleren of uw organisatie de juiste afwegingen heeft gemaakt.
In uw interne register legt u minimaal vast: wat er is gebeurd, wanneer het is ontdekt, welke persoonsgegevens betrokken waren, hoeveel personen zijn getroffen, welke maatregelen u heeft genomen en waarom u wel of niet heeft gemeld. Dit register vormt ook de basis voor het verbeteren van uw cybersecurity beleid en interne procedures na een incident.
Voor organisaties die werken met veilige dataopslag en systematische IT-beheersing is dit register vaak al onderdeel van een breder informatiebeveiligingsbeleid. Wie dat nog niet op orde heeft, loopt bij een controle en assurance door externe auditors aanzienlijk meer risico.
Hoe Auren u helpt bij datalekken en AVG-compliance
Een datalek overkomt ook goed georganiseerde bedrijven. Wat het verschil maakt, is of u weet wat u moet doen als het gebeurt. Wij helpen MKB-organisaties om niet alleen reactief maar ook proactief met informatiebeveiliging om te gaan.
Concreet ondersteunen wij u bij:
- Het inrichten van een datalek-procedure die voldoet aan de AVG-meldplicht
- Het uitvoeren van een IT Audit & Cyber Services om kwetsbaarheden in uw omgeving in kaart te brengen
- Het opstellen of verbeteren van uw interne datalekregister en escalatieprotocol
- Begeleiding bij de NIS2 richtlijn voor MKB en juridische compliance en andere relevante wet- en regelgeving
U hoeft dit niet alleen uit te zoeken. Neem contact op met Auren en ontdek onze dienstverlening en ontdek hoe wij uw organisatie helpen om in control te zijn, ook als het onverwacht misgaat.
Gerelateerde artikelen
- Wat is een waarschuwingssignaal voor een financieel adviseur?
- Hoe wordt goodwill in de balans verwerkt na een overname?
- Wat is een earnout regeling bij een bedrijfsovername?
- Wat zijn de 10 gouden regels voor informatiebeveiliging?
- Bedrijf verkopen en in dienst blijven: hoe werkt dat?