Autoriteit Persoonsgegevens geeft update over meldplicht datalekken

Terug naar articles

19 september, 2016

Abstract identity theft, money outflow, fraud theft protection, phishing, leakage information, economic crisis poster, financial bankruptcy flat icon modern design, vector illustration isolated

Op 15 september jl. organiseerde het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) een Ronde Tafel bijeenkomst over de Wet meldplicht datalekken. Tijdens deze bijeenkomst werd de wet, die sinds 1 januari 2016 van kracht is, onder de loep genomen en werden ervaringen tussen Functionarissen gegevensbescherming en de Autoriteit Persoonsgegevens (AP) uitgewisseld.

Vanaf de inwerkingtreding van de meldplicht tot aan de dag van de Ronde Tafel bijeenkomst, zijn er 3650 datalekken gemeld bij de AP. Dit zijn minder meldingen dan de wetgever vooraf had verwacht. Een eerste beoordeling heeft laten zien dat de meeste meldingen zijn gedaan vanuit:

  • De zorg&welzijn sector (30%);
  • De financiële dienstverlening (20%);
  • Het openbaar bestuur (13%);
  • De informatie- & communicatiesector (13%); en
  • Het vervoer (10%).

Het merendeel van de meldingen aan de AP betrof meldingen waarbij gevoelige persoonsgegevens betrokken waren.
Bij de gemelde datalekken ging het veelal om:

  • Gestolen of verloren USB-sticks of laptops;
  • Poststukken die verkeerd bezorgd zijn;
  • Klantportalen die aan verkeerde klanten worden gepresenteerd; of
  • E-mails die naar verkeerde geadresseerde(n) zijn verzonden.

De AP heeft daarnaast meegegeven dat een crypto- en ransomware aanval, waar persoonsgegevens aan ten prooi zijn gevallen, ook als datalek aangemerkt kan worden. Wanneer persoonsgegevens versleuteld zijn en de verantwoordelijke daardoor geen toegang meer heeft tot de gegevens, valt onder de meldplicht. Ook een datalek dat intern bij een organisatie heeft plaatsgevonden valt onder de reikwijdte van de meldplicht.

De meldingen die binnenkomen bij de AP worden automatisch gesorteerd op mate van belangrijkheid – groen, oranje en rood – en vervolgens dagelijks beoordeeld door een zogenoemd intaketeam. De AP let er hierbij voornamelijk op wat de verantwoordelijke heeft gedaan om het lek te stoppen, om schade te voorkomen, om nieuwe lekken te voorkomen en of de betrokkenen voldoende zijn geïnformeerd. Bij het achterwege laten van de melding aan betrokkenen kijkt de AP of zij alsnog geïnformeerd dienen te worden. Van organisaties wordt verwacht dat zij naar aanleiding van een datalek zoeken naar oplossingen om dit in de toekomst te voorkomen. Als er signalen bij de AP binnen komen dat een datalek niet is gemeld, zal de AP zelf contact opnemen met de verantwoordelijke.

Wat betreft de melding aan betrokkenen heeft de AP nog meegegeven dat het feit dat de groep betrokkenen onvoldoende bepaald of onbekend is, geen argument kan zijn om melding aan de betrokkenen uit te blijven stellen of achterwege te laten. Wanneer deze groep onvoldoende bepaald of onbekend is, kan er een algemeen bericht worden verspreid. Let wel: het is van belang dat het bericht middels een medium wordt verspreid dat daadwerkelijk door de doelgroep zal worden gelezen.

De AP heeft nog geen gebruik gemaakt van zijn ruime boetebevoegdheid. De AP ziet een boete als ultimum remedium (‘laatste middel’) en gaf aan hier zeer voorzichtig mee om te zullen gaan.

Tot slot heeft de AP nog meegegeven dat zij van de gedane meldingen een zogenoemd ‘lessons learned’ document zullen publiceren.

Zoals blijkt uit het voorgaande, was het een interessante middag waar meer duidelijk is geworden over het succes en de werking van de nieuwe meldplicht. Wilt u meer weten over de Wet meldplicht datalekken of heeft u advies nodig over een datalek, neem dan gerust contact op met een van onze consultants.

Considerati_Tessa_2
Tessa Schop

Juridisch Adviseur

Gerelateerde blogs

Justitie toegang tot medische gegevens: paradox of realiteit? | Considerati

Justitie toegang tot medische gegevens: paradox of realiteit?

Een buisjes bloed afstaan in het ziekenhuis, voor onderzoek naar je eigen gezondheid of als...

Lees meer

canstockphoto16138153

Breaking: Europese Privacy Verordening nog steeds op koers – EP stemt voor Albrecht rapport

Vandaag heeft een grote meerderheid in het Europees Parlement het rapport van LIBE-rapporteur Jan...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.