Mijn werknemer veroorzaakt een datalek, wat nu?

Datalekken in het nieuws

Sinds de invoering  van de meldplicht datalekken op 1 januari 2016, komen er bij de Autoriteit Persoonsgegevens (hierna: “AP”) duizenden meldingen van datalekken binnen per jaar. In de digitale wereld waarin we leven lopen bedrijven een groot risico dat werknemers zich ‘schuldig’ maken aan het veroorzaken van een dergelijk lek. Een mail naar een verkeerd persoon is al snel verzonden en de praktijk laat zien dat werknemers niet altijd even netjes omgaan met inloggegevens.

Wat is nou een ‘datalek’?

Er wordt van een datalek gesproken als er een inbreuk is op de beveiliging van persoonsgegevens, die daarbij zijn blootgesteld aan verlies of onrechtmatige verwerking. In de Algemene Verordening Gegevensbescherming (hierna: “AVG”) wordt gesproken over een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Bij een datalek gaat het, kort gezegd, om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is geweest. Naast het ‘lekken’ van gegevens, valt ook ‘onrechtmatige verwerking’ van gegevens onder de definitie van een datalek. Kortom, een datelek moet ruim worden opgevat. 

(bij wie) moet ik het melden?

Wanneer een (privaatrechtelijke of publiekrechtelijke) organisatie heeft vastgesteld dat sprake is van een datalek in de zin van de AVG, dient de afweging te worden gemaakt of hiervan ook een melding aan de AP dient te worden gedaan. Uit de AVG volgt dat een inbreuk zal moeten worden gemeld, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van degene wiens persoonsgegevens worden verzameld (de “betrokkene”).   Er zal dan ook per geval een afweging moeten worden gemaakt of er een melding moet worden gedaan. Wanneer persoonsgegevens van gevoelige aard zijn gelekt, is er al snel sprake van een risico voor de rechten en vrijheden van de betrokkene. Dit heeft tot gevolg dat een melding moet worden gedaan. Onder persoonsgegevens van gevoelige aard worden onder andere verstaan gegevens over iemands godsdienst, ras of gezondheid. Ook gegevens over de financiële situatie van iemand kunnen worden aangemerkt als gegevens van gevoelige aard.                                                                                     

Indien er geen persoonsgegevens van gevoelige aard zijn gelekt en de aard en de omvang van de inbreuk niet leiden tot een risico voor de rechten en vrijheden van de betrokkene, is het niet altijd nodig het datalek te melden. Ter illustratie heeft de AP in haar beleid een aantal voorbeelden genoemd van scenario’s waarin sprake is van een datalek dat moet worden gemeld aan de AP:

  • een werknemer verliest een laptop met onversleutelde(bijvoorbeeld financiële) klantgegevens;
  • een werknemer is zijn USB-stick met daarop (gevoelige) persoonsgegevens kwijtgeraakt;
  • een hacker heeft ingebroken in een databestand;
  • binnen een ziekenhuis wordt gesignaleerd dat door een storing in de beveiliging medische gegevens zijn ingezien door onbevoegden;
  • een werknemer van een internetprovider heeft zijn inloggegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens kan komen. 

De melding moet worden gedaan zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. De AP kan organisaties die de AVG overtreden een boete geven van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet als dat cijfer hoger is.

In het geval het waarschijnlijk is dat een inbreuk resulteert in een hoog risico voor de rechten en vrijheden van de betrokkene, dient ook de betrokkene zelf over de inbreuk te worden ingelicht. Ook hier geldt dat per geval een afweging dient te worden gemaakt. In het geval dat in overeenstemming met de AVG voldoende (technische en organisatorische) maatregelen zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens, zal de betrokkene niet te hoeven worden ingelicht. Hiervan is bijvoorbeeld sprake in het geval de betreffende persoonsgegevens voldoende zijn versleuteld, zodat degene die deze gegevens in handen krijgt niet kan achterhalen op wie deze persoonsgegevens betrekking hebben. Verder hoeft een betrokkene niet te worden ingelicht over een datalek indien achteraf maatregelen zijn genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of indien de mededeling onevenredige inspanningen zou vergen.

Tips

Een datalek (veroorzaakt door een werknemer) is nooit helemaal te voorkomen. Wel is het verstandig om bewustwording binnen de organisatie te creëren. Zorg ervoor dat de werknemers op de hoogte zijn van de risico’s die gepaard gaan met het verwerken van persoonsgegevens. Een datalekkenprotocol is hiervoor een must, welke wij al voor veel organisaties hebben verzorgd. Niet alleen organisatorisch zullen er maatregelen moeten worden genomen, ook technische maatregelen dienen te worden genomen ter voorkoming van een datalek. Zo moet de ICT omgeving van een bedrijf voldoen aan de eisen die de AVG stelt. In een organisatie waar werknemers veel e-mails versturen met persoonsgegevens is het bijvoorbeeld verstandig om te werken met vertraagde e-mails. Mocht een werknemer er dan nog op tijd achter komen dat hij zijn e-mail naar een verkeerd persoon heeft verzonden, dan is er een mogelijkheid de e-mail in te trekken waardoor een mogelijk datalek wordt voorkomen. Daarnaast adviseren wij in de arbeidsovereenkomst een specifiek beding op te nemen, waarin de werknemer zich verplicht tot het melden van een datalek..   

Vragen?

Heeft u vragen over dit onderwerp of heeft u hulp nodig bij het opstellen van een datalek beding in de arbeidsovereenkomst? Neem dan gerust contact op met één van onze Privacy advocaten.

Robbert Santifort, advocaat privacyrecht.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.