Datalek: voorkomen is beter dan genezen

In 2020 berichtten wij al dat de Autoriteit Persoonsgegevens (AP) een standpunt had ingenomen over het toezicht op de handhaving van de privacyregels tijdens corona. Ook tijdens crisistijd dient de privacy te worden gewaarborgd, aldus de AP.

Dat de AP ook de daad bij het woord voegt en uitvoering geeft aan de toezichthoudende rol, blijkt uit een krantenartikel in december 2020, waarin stond dat het AP (alsnog) een onderzoek zou starten naar de beveiliging van medische dossiers bij een ziekenhuis. Aanleiding voor dat onderzoek was dat was geconstateerd dat er eerder sprake zou zijn geweest van datalekken, zonder dat het ziekenhuis dit door had.

Aanleiding om eens goed stil te staan bij dit onderwerp. Wanneer is er sprake van een datalek? En hoe dient een organisatie te handelen bij een datalek?

Het begrip ‘datalek’ is niet opgenomen in de AVG. Wel kent de AVG het begrip ‘inbreuk in verband met persoonsgegevens’: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. De AP omschrijft een datalek als een ongeoorloofde of onbedoelde toegang tot persoonsgegevens, maar ook als het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens.

Van een datalek kan in de praktijk relatief snel sprake zijn. Denk aan de collega die een USB-stick met vertrouwelijke gegevens kwijtraakt of de collega van de andere afdeling die uit nieuwsgierigheid een (patiënten)dossier bekijkt hoewel hij dat (vanwege zijn functie) helemaal niet hoeft te raadplegen. Of de medewerker die per abuis een mailbericht stuurt aan de verkeerde contactpersoon.

Artikel 33 AVG bepaalt dat de verwerkingsverantwoordelijke een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit moet melden. Moet ieder datalek worden gemeld? Nee. Of een datalek gemeld moet worden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Een datalek moet in ieder geval altijd geregistreerd worden in een datalekregister. Betrokkenen hoeven enkel te worden geïnformeerd als een datalek waarschijnlijk een hoog risico van inbreuk op hun rechten en vrijheden oplevert. De AP kan boetes opleggen indien een datalek ten onrechte niet wordt gemeld aan de AP of aan de betrokkene.

Een organisatie dient ook maatregelen te nemen ter voorkoming van een datalek. Het gaat niet enkel om het nemen van technische maatregelen. Denk ook aan het realiseren van bewustzijn- en wording bij het personeel. Het is niet enkel de functionaris gegevensbescherming (FG) die zich met privacy dient bezig te houden. Wijs de medewerker die zijn werkplek onbeheerd achterlaat op het risico van een datalek.

Is uw datalekregister (voldoende) op orde? En zijn uw medewerkers voldoende op de hoogte van de regels die de AVG stelt aan verwerking van persoonsgegevens? En is de tijdige melding van een datalek goed geprotocolleerd? Voorkomen is beter dan genezen.

Onze advocaten kunnen ondersteuning bieden bij het opstellen van een beleid om het risico op een datalek zoveel mogelijk te voorkomen.

Heeft u vragen?

Heeft u vragen of komen bij u andere vragen op, dan kunt altijd contact met een van de advocaten van Capra Advocaten opnemen.

Sanne Dassen