icon

Datalekken melden aan betrokkenen – wanneer?

In onze serie over de (richtsnoeren) meldplicht datalekken hebben we, na een inleiding, inmiddels besproken wanneer sprake is van een datalek en wanneer een datalek moet worden gemeld aan het CBP. Vandaag de vraag: wanneer moet een datalek aan de betrokkene worden gemeld?

Alleen melding aan het CBP volstaat onder de nieuwe wet namelijk in veel gevallen niet en dat is maar goed ook. Een datalek kan immers tot gevolg hebben dat gevoelige informatie is gelekt en daar kunnen in bepaalde gevallen gevaarlijke dingen mee gebeuren. Denk aan identiteitsfraude, het openbaar maken van medische gegevens of het verdwijnen of “gegijzeld” worden van financiële informatie. Als de betrokkene wordt geïnformeerd kan deze maatregelen nemen (zoals het wijzigen van passwords en logins) en alerter reageren op eventueel misbruik.

Wanneer is melding aan de betrokkene nu precies aan de orde? Welnu: het moet allereerst om een datalek gaan dat óók al aan het CBP gemeld moest worden. Was dat al niet nodig, dan kan melding aan de betrokkene a fortiori achterwege blijven.

Vervolgens is voor het al dan niet moeten doen van de melding van belang óf, en zo ja in hoeverre, de persoonsgegevens beschermd waren met technische maatregelen. Waren ze dat op passende wijze, dan kan melding achterwege blijven (tenzij het CBP deze alsnog oplegt). Waren ze dat niet dan moet gekeken worden of het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene. Als dat het geval is moet in principe worden gemeld; anders kan melding achterwege blijven.

Hier worden een boel open normen gebruikt en het is dus maar goed dat de Richtsnoeren daar tegelijkertijd enige invulling aan geven. Allereerst die passende bescherming met technische maatregelen. Wanneer is daarvan sprake?

De Richtsnoeren noemen als vormen van technische bescherming versleuteling (inclusief hashing), remote wiping en pseudonimisering. Of ze passend (lees: voldoende) zijn zal concreet van geval tot geval moeten worden bekeken. Bij versleuteling (uitgezonderd hashing) is het uiteraard zaak dat de sleutel niet óók gelekt of gehackt is. En remote wiping, waarbij dus op afstand automatisch gegevens worden gewist of alsnog versleuteld, heeft uiteraard alleen effect als het gestolen of verloren apparaat nog in staat is het wipe-commando te ontvangen. De Richtsnoeren geven wel een tip voor versleuteling: zij verwijzen naar het rapport Algorithms key-size and parameters uit 2014 van ENISA, het EU-bureau voor netwerk- en informatie-beveiliging. De versleutelmethoden die daarin worden gekwalificeerd als geschikt voor “future use” zijn vooralsnog (de eerste 10 tot 50 jaar) voldoende.

Nota bene: er is nooit sprake van een passende bescherming als de gelekte persoonsgegevens unica zijn waarvan geen back-up is gemaakt. Dan staan de gegevens immers bloot aan vernietiging of aantasting (waaronder “gijzeling” met ransomware). Daar hoef je de data niet voor te kunnen lezen. Zelfs de best versleutelde maar niet geback-upte data kan dus in gijzeling worden genomen. Dus: geen back-up? Melden aan betrokkene!

Is er geen passende beveiliging toegepast dan moet worden gekeken of het lek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene. Dat zal altijd het geval zijn als gegevens van gevoelige aard zijn gelekt (zie voor een uitleg van dat begrip aflevering 3 uit deze serie). Voor het overige moet worden gekeken naar de omstandigheden van het geval. De Richtsnoeren bevatten op de bladzijden 34 t/m 36 tal van voorbeelden om wat houvast te geven.

Dat houvast is overigens niet nodig als er een financiële zorgplicht in het geding is. Dan moet er altijd aan de betrokkene worden gemeld. Dit zal zich bijvoorbeeld voordoen als er een lek plaatsvindt bij een bank of financieel adviseur.

Melding zal bij voorkeur (indien mogelijk) moeten plaatsvinden op individuele basis, met behulp van de contactgegevens die de verantwoordelijke heeft. Een e-mail werkt het makkelijkst en het snelst. In de melding moet in algemene zin worden uitgelegd wat is er gebeurd en wat de betrokkene zelf kan doen om de gevolgen te beperken (bijv. wachtwoord wijzigen). Ook moet een contactadres worden opgenomen waar men terecht kan met vragen. Voor uitgebreidere informatie mag worden verwezen naar een website.

Overzicht van de andere afleveringen van deze serie

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Datalekken melden aan betrokkenen – wanneer?