Datalekken – Hoe zit dit nou precies?

Laatste update 24 oktober 2022 om 11:10

Met de komst van de Algemene Verordening Gegevensbescherming (AVG), de richtlijn die ziet op de bescherming van persoonsgegevens, zijn er ook regels gekomen voor het geval persoonsgegevens bereikbaar zijn voor personen die geen toegang zouden mogen hebben. Dan spreek je van een datalek. Ook het verloren gaan van persoonsgegevens zonder back-up is een datalek.

We krijgen veel vragen over datalekken en hoe daarmee om te gaan, in dit artikel zetten we de belangrijkste zaken voor je op een rij. Ook vertellen we je hoe SoloPartners je kan helpen bij het voldoen aan de verplichtingen rondom datalekken.

Wanneer is er sprake van een datalek

Denk aan uitgelekte computerbestanden, een gestolen laptop, een zoekgeraakte usb-stick met persoonsgegevens, een afgedankte maar niet schoongemaakte computer en jouw onbeheerde en niet vergrendelde telefoon met daarop een ECD of jouw agenda afspraken met cliënten en hun zorgbehoefte.

Als er sprake is van een datalek doorloop dan de volgende stappen:

• Breng in kaart wat er is gebeurd en wie tot welke persoonsgegevens toegang zou kunnen hebben gehad.
• Voorkom meer schade door maatregelen te treffen. Stel data en bewijs veilig (indien nodig hulp inschakelen), verwijder bijvoorbeeld het bericht van sociale media en blokkeer op afstand de toegang tot je telefoon.
• Bepaal of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens; op de site is een voorbeeldlijst gepubliceerd die gebruikt kan worden als hulpmiddel.
• Bij het (mogelijk) schenden van de privacy van betrokkenen; breng ze op de hoogte van het datalek.
• Registreer het datalek in jouw datalekregister; informatie over de ontstane situatie (inclusief oorzaak en gevolgen), onderbouwing van het al dan niet melden bij de Autoriteit Persoonsgegevens, de verbeteracties en de wijze waarop je deze gaat uitvoeren

Wel of niet melden

Uit de hiervoor vermelde voorbeeldlijst blijkt dat niet elk incident met een voorwerp waarop persoonsgegevens zijn opgeslagen, een datalek oplevert. Als het voorwerp voldoende is beveiligd of de gegevens zijn versleuteld, is er pas sprake van een datalek als de beveiliging of de versleuteling is verbroken.

Echter zodra de persoonsgegevens leesbaar of toegankelijk zijn voor onbevoegden spreek je van een datalek en moet je dit melden. Dat doe je via het meldformulier op de website van de Autoriteit Persoonsgegevens (AP): https://datalekken.autoriteitpersoonsgegevens.nl/. De AP bepaalt vervolgens of de melding opvolging verdient. Dat kan beperkt blijven tot navragen of je de bij het datalek betrokken personen hebt geïnformeerd.  Er kan ook gekozen worden voor een uitvoerig onderzoek met eventueel een sanctie. Met het grootste deel van de meldingen doet de AP echter niets. Daar hoort de melder niets meer van omdat de AP niet de capaciteit heeft om alle meldingen op te volgen. Dat betekent niet dat je toekomstige meldingen achterwege kunt laten. Ook het niet melden terwijl dat wel had gemoeten, kan beboet worden.

Let op, een melding moet gedaan zijn binnen 72 uur na de ontdekking van het datalek.

Betrokkenen informeren

Indien er sprake is van een hoog risico voor de rechten en vrijheden van betrokkenen, dienen betrokkenen bij een datalek geïnformeerd te worden. Omdat medische gegevens aangemerkt worden als bijzondere persoonsgegevens waarmee extra zorgvuldig moet worden omgegaan, leidt een datalek in de zorg er al snel toe dat betrokkenen moeten worden geïnformeerd. Doorbreking van het medisch beroepsgeheim levert namelijk altijd een schending van de rechten en vrijheden van betrokkenen op.

Als betrokkenen moeten worden geïnformeerd, moet voor hen duidelijk worden of de persoonsgegevens ontoegankelijk of verloren zijn geraakt of in handen van een onbevoegde zijn gekomen. Daarnaast moet je informeren over de gegevens die betrokken zijn bij het lek en of die gegevens compleet of juist waren ten tijde van het lek.

Datalekregister

Een datalek dien je te allen tijde op te nemen in een intern datalekregister. Dit geldt ook voor de datalekken die je uiteindelijk niet meldt aan de AP en/of betrokkenen. Ben je kwaliteitslid van SoloPartners dan bieden wij je een register waarin je datalekken kunt registreren en bewaren. Daarmee maken wij het je eenvoudiger om aan je verplichtingen op grond van de AVG te voldoen. Zo voorkom je vervelende discussies met de AP.

Hoe voorkom je een datalek

Je kunt zelf het nodige doen om een datalek te voorkomen. Verwijder bijvoorbeeld persoonsgegevens die je niet meer nodig hebt of die je al een tijd niet hebt gebruikt. Bewaar persoonsgegevens op één vaste plek (apparaat of map op je harde schijf), dat maakt het makkelijker om gegevens te beheren en voorkom je dat gegevens ongemerkt buiten je controle komen. Bovendien is het dan ook makkelijker om de gegevens te beveiligen en eventueel versleuteld te bewaren.