Datalek: wel of niet melden

Of u een datalek wel of niet moet melden bij de Autoriteit Persoonsgegevens (AP), is afhankelijk van de mogelijke impact van het datalek op de slachtoffers. Ook de vraag of u de slachtoffers moet informeren over het datalek, hangt af van het risico dat zij lopen door het datalek.

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?

Direct een datalek melden of een datalektip geven

Op deze pagina vindt u informatie over de manier waarop u het risico voor de slachtoffers kunt bepalen. Verder vindt u specifieke informatie en hulpmiddelen die u helpen in te schatten of u een datalek moet melden aan de AP en of u de slachtoffers moet informeren.

Op deze pagina

Beoordelen risico datalek

In de Algemene verordening gegevensbescherming (AVG) staat dat u:

  • Een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer. 
  • De slachtoffers moet informeren als een datalek waarschijnlijk een hoog risico voor hen oplevert.

U moet dus een risico-inschatting maken om te beslissen of u een datalek wel of niet meldt bij de AP en of u de slachtoffers wel of niet informeert. 

Bij het bepalen van het risico van een datalek kijkt u naar de omstandigheden van het datalek. U houdt daarbij rekening met de gevolgen voor de slachtoffers en hoe waarschijnlijk het is dat die gevolgen zich voordoen.

Soms is het risico heel duidelijk. Bijvoorbeeld wanneer medische dossiers zijn gelekt. Of als persoonsgegevens zijn gestolen door een hacker. Maar vaker is het een weging van meerdere factoren.

Factoren bij risico datalek

De volgende factoren helpen u om uw afweging objectief te maken:

  • de aard van de inbreuk;
  • de aard en gevoeligheid van de persoonsgegevens en de hoeveelheid;
  • het gemak waarmee personen kunnen worden geïdentificeerd;
  • de ernst van de gevolgen voor de slachtoffers;
  • kenmerken van de onbevoegde ontvanger;
  • bijzondere kenmerken van de persoon;
  • bijzondere kenmerken van uw organisatie;
  • aantal slachtoffers.

Tip: In de gegevensbeschermingsgids voor het mkb van de EDPB vindt u een stroomschema die u kan helpen bij het maken van een objectieve afweging.

Aard van de inbreuk

Het type inbreuk kan van invloed zijn op het risico. Bijvoorbeeld: zijn er persoonsgegevens gewist, gewijzigd of gelekt? Het lekken van persoonsgegevens aan een onbevoegde persoon heeft andere gevolgen dan persoonsgegevens die verloren gaan.

Aard en gevoeligheid van de persoonsgegevens en de hoeveelheid

Hoe gevoeliger de gelekte gegevens, hoe groter het risico op schade. Daarnaast kan de context leiden tot een hoger risico. Bijvoorbeeld wanneer de naam en het adres van een adoptieouder aan een biologische ouder worden bekendgemaakt. De hoeveelheid informatie die van een slachtoffer wordt gelekt, heeft ook invloed op het risico.

Houd bij de volgende soorten persoonsgegevens in ieder geval rekening met een hoog risico:

  • Bijzondere persoonsgegevens, zoals gegevens over de gezondheid.
  • Strafrechtelijke persoonsgegevens.
  • Informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Vooral bij profilering op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.

Andere voorbeelden van gevoelige gegevens zijn:

  • creditcardgegevens;
  • (kopieën van) identiteitsdocumenten;
  • burgerservicenummer (BSN) in combinatie met aanvullende gegevens, zoals NAW-gegevens.

Wanneer deze gegevens in verkeerde handen vallen, kunnen ze misbruikt worden voor fraude. Zoals identiteitsfraude.

Sommige categorieën van persoonsgegevens kunnen in eerste instantie niet gevoelig lijken. Zoals een telefoonnummer en e-mailadres. Maar in handen van (cyber)criminelen kunnen deze gegevens worden misbruikt voor gerichte phishing-acties.

Gemak waarmee personen kunnen worden geïdentificeerd

Hoe makkelijker de gelekte gegevens te herleiden zijn naar een individu, hoe hoger het risico.

Het risico kan verkleind zijn door maatregelen die u heeft genomen om het lastiger of onmogelijk te maken om personen te identificeren. Zoals versleuteling en pseudonimisering van gegevens.

Houd ook rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Een combinatie van de gelekte gegevens met openbare gegevens kan de impact groter maken.

Ernst van gevolgen voor slachtoffers

Kan het datalek leiden tot financiële schade, identiteitsfraude, lichamelijk letsel, psychisch leed, vernedering of reputatieschade? Dan kan de schade voor het slachtoffer bijzonder ernstig zijn. U moet er dan rekening mee houden dat er een hoog risico is.

Schade voor het slachtoffer kan fysiek, materieel en immaterieel zijn:

Fysieke (lichamelijke) schade

Bijvoorbeeld wanneer cruciale medische gegevens zijn gewist, waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt.

Materiële (financiële) schade

Bijvoorbeeld bij een datalek met creditcardgegevens. Hierdoor bestaat de kans dat iemand online bestellingen kan plaatsen op kosten van een ander. Of andere vormen van financieel verlies, identiteitsdiefstal of identiteitsfraude.

Bijvoorbeeld bij een datalek:

  • met complete kopieën van identiteitsbewijzen;
  • met het BSN in combinatie met andere persoonsgegevens;
  • waarbij (cyber)criminelen persoonsgegevens hebben gestolen.

Immateriële schade

Zoals kans op:

  • discriminatie (bijvoorbeeld bij een datalek met gegevens over ras/etniciteit, geloof of seksuele geaardheid);
  • reputatieschade (bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk);
  • inbreuk op iemands persoonlijke levenssfeer.

Kenmerken van de onbevoegde ontvanger

Heeft u persoonsgegevens verstrekt aan een verkeerde (onbevoegde) ontvanger, maar kunt u objectief vaststellen dat deze ontvanger betrouwbaar is? Dan kunt u dit meewegen als u de risico’s van het datalek beoordeelt. Dit kan de ernst van de gevolgen voor het slachtoffer wegnemen of verminderen. Of hiervan sprake is, verschilt van geval tot geval.

Betrouwbare ontvangers kunnen bijvoorbeeld zijn:

  • een verkeerde collega of afdeling binnen uw eigen organisatie;
  • partijen waarmee u een zakelijke relatie heeft, zoals een vaste leverancier;
  • partijen die een wettelijk beroepsgeheim hebben, zoals een huisarts of andere zorgaanbieder.

Let op: Neemt de onbevoegde ontvanger zelf contact met u op om het datalek te melden? En heeft deze partij de gegevens teruggestuurd of bevestigd dat de gegevens worden gewist? Maar valt de partij niet in de 3 genoemde categorieën? Dan kunt u er niet van uitgaan dat er sprake is van een ‘betrouwbare ontvanger’.

Dat komt omdat u de onbevoegde ontvanger niet kent. U heeft daarom geen zekerheid over de ontvanger. U kunt er dan niet redelijkerwijs op vertrouwen dat deze verder niets met de ontvangen gegevens zal doen.

Bijzondere kenmerken van de persoon

Wanneer gegevens van kwetsbare personen zijn gelekt, kunnen deze personen een groter risico op schade lopen. Bijvoorbeeld kinderen, ouderen of mensen met een beperking of ziekte.

Bijzondere kenmerken van uw organisatie

De risico’s van een datalek bij een ziekenhuis zullen bijvoorbeeld groter zijn dan bij een mailinglijst van een krant.

Aantal slachtoffers

Over het algemeen geldt: hoe meer slachtoffers er zijn, hoe groter de gevolgen van een datalek kunnen zijn. Maar een inbreuk kan ook voor maar 1 persoon ernstige gevolgen hebben.

Wel of niet melden datalek bij AP

Heeft u de risico-inschatting gemaakt, dan beoordeelt u vervolgens zelf of u het datalek moet melden bij de AP. Twijfelt u of u het datalek moet melden? Dan kunt het beste het zekere voor het onzekere nemen en het datalek wél melden.

U hoeft het datalek niet te melden bij de AP als u passende maatregelen heeft getroffen voordat het datalek plaatsvond. Waardoor de gelekte persoonsgegevens onbegrijpelijk zijn voor onbevoegden. Bijvoorbeeld doordat de gegevens goed zijn versleuteld of vervangen door een hashwaarde.

Let op: Deze uitzondering geldt alleen als u aan deze 3 voorwaarden voldoet:

  1. De gegevens zijn nog volledig intact.
  2. U heeft nog steeds de volledige controle over de gegevens (u beschikt over een recente back-up).
  3. De sleutel die voor de encryptie of voor de hashing is gebruikt, heeft geen gevaar gelopen bij het datalek. En deze sleutel is ook met de beschikbare technologie niet vindbaar voor onbevoegden.

Wel of niet informeren slachtoffers over datalek

Hoeft u een datalek niet te melden bij de AP? Dan hoeft u het ook niet te melden aan de slachtoffers. U hoeft de slachtoffers alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. U beoordeelt dit zelf op basis van uw risico-inschatting. 

Let op: U moet het datalek mogelijk wel bij de AP melden. Als dat zo is, geeft u in uw melding aan dat u het datalek niet heeft gemeld aan de betrokkenen (slachtoffers). U moet ook aangeven welke redenen u heeft om de betrokkenen niet te informeren. 

Lees welke informatie u slachtoffers moet geven over een datalek 

Slachtoffers informeren niet nodig

In de AVG staan 3 situaties waarin u de slachtoffers mogelijk niet persoonlijk hoeft te informeren over het datalek:

1. Maatregelen vooraf

U heeft vooraf passende maatregelen genomen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling.

2. Maatregelen achteraf

U heeft achteraf maatregelen genomen die ervoor zorgen dat het datalek is beëindigd. En dat het hoge risico voor de slachtoffers zich waarschijnlijk niet (meer) voordoet.

Bijvoorbeeld wanneer u de persoon die toegang tot de persoonsgegevens heeft gehad, onmiddellijk heeft geïdentificeerd. En u actie heeft ondernomen voordat die persoon iets met de persoonsgegevens kon doen.

Let op: Als de onbevoegde ontvanger de persoonsgegevens al heeft ingezien, kan dit soms al een hoog risico met zich meebrengen. Bijvoorbeeld bij medische gegevens. Dan kunt u geen beroep doen op deze uitzondering.

3. Onevenredige inspanning

Het individueel informeren van de slachtoffers vraagt een onevenredige inspanning van u. Bijvoorbeeld omdat u de contactgegevens van de slachtoffers bent kwijtgeraakt door het datalek. Of omdat de contactgegevens niet bekend zijn. 

U mag de slachtoffers dan ook informeren met een openbare mededeling of een soortgelijke maatregel. Bijvoorbeeld door een bericht te plaatsen op sociale media of in de lokale krant, in combinatie met een mededeling op uw website.

Let op: De slachtoffers moeten hiermee wel even doeltreffend worden geïnformeerd. Dat betekent dat zij op tijd genoeg informatie moeten krijgen over het datalek.

Uitzonderingen UAVG

Daarnaast noemt de Uitvoeringswet AVG (UAVG) 2 situaties waarin u de slachtoffers niet hoeft te informeren:

  1. Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming van de privacy van anderen. Bijvoorbeeld wanneer kinderen een hulpvraag hebben gedaan zonder dat hun ouders dit weten.
  2. Uw organisatie is een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft). De meldplicht aan de slachtoffers geldt dan niet voor u. Wel geldt de meldplicht aan de AP.

Hulpmiddelen datalek wel of niet melden

Overtreding meldplicht datalekken

Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete opleggen. Meldt u een datalek ten onrechte niet aan de slachtoffers? Dan kan de AP u verplichten de slachtoffers alsnog te informeren. En verzwijgt u ten onrechte een datalek met een hoog risico voor de slachtoffers? Ook dan kan de AP u een boete opleggen.