De juridische gevolgen van een datalek
Ondernemers die gegevens opslaan moeten rekening houden met een eventuele kans op een datalek. Denk aan het verlies van een USB-stick met niet-versleutelde persoonsgegevens, of een cyberaanval waarbij persoonsgegevens zijn buitgemaakt of wellicht nog veel meer voorkomend, het versturen van een mail naar iemand anders dan voor wie de mail bedoeld was. Zo’n 70% van de datalekken in Nederland wordt veroorzaakt door menselijk handelen. Het voorkomen van datalekken is lastig. Sinds 1 januari 2016 geldt er een verplichting om een datalek in de organisatie, te melden bij de Autoriteit Persoonsgegevens. Dat geldt overigens niet voor iedere datalek. Stel je kampt als ondernemer met een datalek. Welke stappen moet je zetten?
Definitie van een datalek
De Algemene Verordening Gegevensbescherming (AVG) definieert een datalek als: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
Er zijn drie soorten datalekken
Inbreuk op de vertrouwelijkheid
Persoonsgegevens zijn openbaar gemaakt of er is toegang geweest tot persoonsgegevens. Dit is gebeurd door iemand die daartoe niet bevoegd is, of dit is per ongeluk gebeurd.
Inbreuk op de integriteit
Persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is, of dit is per ongeluk gebeurd.
Inbreuk op de beschikbaarheid
De organisatie waar het datalek is (geweest) kan niet meer bij de persoonsgegevens komen, of de gegevens zijn vernietigd. Dit is gebeurd door iemand die daartoe niet bevoegd is, of dit is per ongeluk gebeurd.
Welke stappen moet je nemen?
Is er van één van de bovenstaande inbreuken sprake, onderneem dan samen met een ervaren advocaat de volgende stappen:
Stap 1: Melden van een datalek 72 uur na ontdekking
Er geldt een verplichting een datalek te melden binnen 72 uur na de ontdekking. De melding moet worden gemaakt bij de Autoriteit Persoonsgegevens.
Stap 2: Meld ook de datalek aan de betrokkenen
Daarnaast kan het nodig zijn om de personen wiens gegevens zijn gelekt op de hoogte te stellen, vooral als de inbreuk een aanzienlijk risico vormt voor hun rechten en vrijheden.
Stap 3: Onderzoek eventuele schadeclaims van deze betrokkenen
Individuen van wie de gegevens zijn gelekt, hebben mogelijk het recht om een schadeclaim in te dienen tegen de organisatie die verantwoordelijk is voor het datalek. Deze claims kunnen gericht zijn op het verkrijgen van compensatie voor eventuele schade die voortvloeit uit het lek, zoals identiteitsdiefstal, financiële verliezen of reputatieschade. Onderzoek dit samen met een advocaat.
Stap 4: Communicatie is key
Schakel snel en stel in samenwerking met de communicatieafdeling een helder plan op. Hoe wordt er over dit datalek gecommuniceerd?
Stap 5: Verbeteren huidige IT-infrastructuur
Na een datalek kunnen organisaties verplicht worden om aanvullende maatregelen te implementeren om de beveiliging van gegevens te verbeteren en toekomstige inbreuken te voorkomen. Dit kan het herzien van beveiligingspraktijken, het uitvoeren van audits en het implementeren van verbeterde gegevensbeschermingsmaatregelen omvatten.
Conclusie
Als een datalek leidt tot geschillen of claims, kunnen organisaties betrokken raken bij langdurige juridische procedures en mogelijke reputatieschade. Dit kan onder meer betrekking hebben op het verdedigen tegen schadeclaims, het onderzoeken van de oorzaken van het lek en het voldoen aan wettelijke vereisten om het incident aan te pakken. Kampt jouw organisatie met een datalek? Neem dan contact op met onze ICT-recht specialisten.