Datalekken: een korte terugblik op de online Privacy Pauze van 30 maart 2021

Regelmatig organiseert de Expertgroep Privacy/AVG & Wob online Privacy Pauzes over actuele onderwerpen. Op 30 maart 2021 kwam bijvoorbeeld het onderwerp datalekken aan bod. In dit artikel een korte terugblik op de inhoud. Eventuele relevante links worden live tijdens de privacy pauzes gedeeld.

Allereerst is er stilgestaan bij de vraag wanneer er sprake is van een datalek en wat er dan verwacht wordt van de verwerkingsverantwoordelijke. In dat kader is ook van belang wanneer er een meldingsplicht geldt voor een datalek. Daarbij spelen onder meer de huidige Europese richtsnoeren een rol. Er is ook ingegaan op de komende Europese richtsnoeren die hier een aanvulling op zijn. Deze komende richtsnoeren geven nog wat meer voorbeelden van datalekken en gaan onder meer in op datalekken die veroorzaakt worden door ransomware, of (oud)werknemers. Er is vanuit de privacypraktijk lezenswaardige feedback gegeven op deze komende richtsnoeren. Verder is de informatie van de Autoriteit Persoonsgegevens van belang, waarover ook is gesproken. Hierbij is tevens de rapportage datalekken 2020 aan bod gekomen. Er zijn in 2020 bijna 24.000 datalekken gemeld.

Enkele praktijkvoorbeelden en uitspraken die zijn besproken:

• Een gemeente die recent volgens de rechtbank een schadevergoeding heeft moeten betalen aan een betrokkene vanwege een datalek (ECLI:NL:RBNNE:2021:106).
• Een boete van de Autoriteit Persoonsgegevens voor het OLVG ziekenhuis vanwege o.m. onvoldoende beveiliging van de patiëntendossiers (zie artikel AP).
• De boete opgelegd door de AP aan het Hagaziekenhuis. Het HagaZiekenhuis had ook een boete opgelegd gekregen vanwege o.m. onvoldoende beveiliging van patiëntendossiers. De rechter heeft inmiddels de opgelegde boete gematigd. Hierover heeft Capra Advocaten vorige week ook al getweet (twitter.com/capraadvocaten). In de nieuwsbrief Zorg verschijnt er een artikel over de recente uitspraak inzake het HagaZiekenhuis.
• Een zaak waarin een werkgever in een ontslagprocedure aan de werknemer een billijke vergoeding moest betalen van € 100.000. Dit, omdat de privacy onvoldoende in het oog was gehouden (ECLI:NL:GHARL:2021:1884), onder meer bij het doorzoeken van de mailbox. In de volgende Capra Concreet komt er een artikel over deze uitspraak. Dit artikel geeft ook een checklist voor de werkgever bij het verschaffen van de toegang,