De Algemene Verordening Gegevensbescherming (AVG) brengt een heleboel teweeg. Organisaties moeten aan de AVG voldoen, betrokkenen (lees: personen over wie gegevens worden verwerkt) hebben allerlei rechten met betrekking tot hun persoonsgegevens en er wordt gestrooid met boetes en berichten over datalekken.
De consultants van Cuccibu leren én verspreiden in de dagelijkse privacy-praktijk allerlei interessante feiten, maar horen ook veel ‘AVG-fabeltjes’ aan. In deze blogreeks behandelen wij tweewekelijks een interessante of veelgehoorde misvatting over de AVG. Wij besteden ook aandacht aan de ‘feiten achter het fabeltje’.
Datalekken: meestal het eerste onderwerp dat in mensen opkomt als het gaat over de AVG. Dat is ook niet zo gek, want de berichten in de media hierover zijn niet mals en er is meestal maar bar weinig empathie voor de veroorzakers van datalekken. Zo ook voor een collega bij een van onze opdrachtgevers: hij verstuurde per ongeluk een e-mail met alle ontvangers in de CC in plaats van de BCC. Oeps! Maar hey, kan gebeuren. Helaas werd hierop geen actie ondernomen door de medewerker, want hij beweerde: “Dit is toch helemaal geen datalek? Er liggen geen gegevens op straat en slechts één ontvanger heeft zich bij mij gemeld naar aanleiding van deze e-mail. Ik wil mijzelf niet onnodig in de problemen brengen. Case closed dus.”
We spreken van een datalek wanneer er iets gebeurt met persoonsgegevens wat niet de bedoeling is. Het moet gaan om een inbreuk. Denk daarbij aan onbedoelde toegang tot persoonsgegevens, het verwijderen van persoonsgegevens die eigenlijk nog nodig waren, of het wijzigen of vrijkomen van persoonsgegevens terwijl de organisatie dat niet zo bedoelde. Een slechte beveiliging van je systemen waardoor een kans is op datalekken levert nog geen datalek op; er is immers (nog) geen sprake van een inbreuk maar sprake van het niet voldoen aan de vereiste passende beveiligingsmaatregelen en daarmee niet voldoen aan het beginsel van vertrouwelijkheid zoals de AVG het bedoelt.
Er zijn tal van voorbeelden van datalekken denkbaar: het verliezen van een telefoon of laptop in de trein, een gehackt account of een gecrashte harde schijf. Terug naar het voorbeeld: het mailtje had gelukkig geen hele spannende inhoud, maar nu weten alle ontvangers elkaars mailadres, dat is niet helemaal de bedoeling en kan vervelende situaties opleveren. Ze zeggen niet voor niets; een datalek zit in een klein hoekje (of was het een ongelukje?). Toch blijkt dat men veel incidenten ten onrechte niet aanmerkt als datalek. Misschien komt dat door de naam? Iets met -lek, vereist een daadwerkelijk lek? Of komt het door de berichtgeving in het nieuws, waar we over gegevens die op (de spreekwoordelijke, digitale) straat liggen, lezen? Hoe dan ook roept dit alles verwarring op. Wat ook vaak verwarring oproept, is de meldplicht.
Meldplicht
Met het vaststellen van het feit dat een datalek heeft plaatsgevonden, ben je er nog niet. Je bent gehouden het datalek intern te registreren en om bepaalde datalekken te melden bij de toezichthouder (in Nederland: de Autoriteit Persoonsgegevens) en eventueel aan de betrokkenen. Je moet een datalek melden wanneer je niet kunt uitsluiten dat de inbreuk en dus het datalek een risico vormt voor de rechten en vrijheden van anderen. Denk aan de situatie dat het adres van mevrouw Janssen lekt, terwijl mevrouw Janssen een kroongetuige is in een het nieuws dominerende strafzaak. Kun je elk risico voor de betrokkenen uitsluiten, dan hoef je het datalek enkel intern te registreren inclusief de beoordeling van het incident en de afdeling waarbinnen het zich heeft voorgedaan. Het is voor een organisatie daarom erg belangrijk dat medewerkers alle mogelijke datalekken (óók bij twijfel) intern kenbaar maken via het gebruikelijke kanaal van het melden van datalekken. Blijkt uit de beoordeling dat een datalek voor betrokkenen geen risico oplevert, dan kán dat betekenen dat je het niet hoeft te melden bij de toezichthouder en/of de betrokkenen. Dat betekent echter niet dat de organisatie verder geen stappen hoeft te ondernemen.
Heb je vragen naar aanleiding van dit artikel, of advies nodig over fotografie in relatie tot de AVG of het portretrecht? De consultants van Cuccibu staan graag voor jou(w organisatie) klaar!
De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!
Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via: info@cuccibu.nl of +31 (0) 85 3030 2984.