Onlangs publiceerden de Europese privacy toezichthouders nieuwe richtsnoeren over datalekken, was er binnen het COVID-19 programma sprake van een omvangrijk datalek en sprak de rechtbank Noord Nederland zich uit over de vergoeding van immateriële schade als gevolg van een datalek. Hierna wordt een en ander onder de loep genomen.

Op 25 januari 2021 bleek dat er sprake is van een grootschalig datalek in de twee belangrijkste coronasystemen van de GGD. Twee medewerkers van de GGD hebben namelijk persoonsgegevens, waaronder telefoonnummers, e-mailadressen en burgerservicenummers, uit deze twee systemen te koop aangeboden. De persoonsgegevens, die zijn verkocht zonder dat de personen wier gegevens dit betreft hiermee hebben ingestemd, kunnen bijvoorbeeld worden gebruikt voor identiteitsfraude of stalking. Dit datalek betekent een enorme inbreuk op de privacy van de betrokkenen nu in de verkeerde handen terecht zijn gekomen._[1]

Wat is een datalek?

Een “inbreuk in verband met persoonsgegevens’”, beter bekend als een datalek, wordt in artikel 4, twaalfde lid, van de AVG gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Degene wiens persoonsgegevens betrokken zijn bij een datalek, is de “betrokkene”. Een datalek moet worden gemeld bij de toezichthoudende autoriteit als sprake is van een risico voor de rechten en vrijheden van natuurlijke personen._[2]

De Autoriteit Persoonsgegevens heeft in 2015 onder de Wbp haar Beleidsregels meldplicht datalekken gepubliceerd. Die zijn later aangevuld met een stappenplan en een voorbeeldenlijst, raadpleegbaar via de website van de AP.  

Ook op Europees niveau besteden privacytoezichthouders aandacht aan datalekken. In 2017 heeft de zogenoemde ‘Article 29 Data Protection Working Party’ (WP29) richtsnoeren uitgebracht met betrekking tot datalekken._[3] Hoewel hiermee veel bestaande vragen beantwoord werden, miste op dat moment  op Europees niveau een meer praktijkgerichte kijk op datalekken. Nu de Algemene Verordening Gegevensbescherming (AVG) al enige tijd van kracht is, heeft de European Data Protection Board (EDPB), het orgaan dat met het inwerking treden van de AVG de WP29 heeft vervangen, meerdere praktijkgerichte en concrete voorbeelden uit de praktijk gebundeld in een tweede set richtsnoeren met betrekking tot datalekken. Deze ‘EDPB Guidelines 01/2021 on examples regarding data breach notification’, die op 14 januari 2021 door de EDPB zijn gepubliceerd_[4], vormen een aanvulling op de in 2017 uitgebrachte eerdere richtsnoeren van de WP29.

EDPB Guidelines 01/2021 on examples regarding data breach notification_[5]

De nieuwe richtsnoeren weerspiegelen de ervaringen van de verschillende toezichthoudende autoriteiten sinds het in werking treden van de AVG. Met de richtsnoeren wil de EDPB op uniformerende wijze richting en duidelijkheid geven aan toezichthouders en aan verwerkingsverantwoordelijken voor momenten waarop zij moeten besluiten over de aanpak van datalekken. Daarnaast stelt de EDPB verschillende aandachtspunten vast waar rekening mee moet worden gehouden bij de beoordeling of sprake is geweest van een datalek met “een risico voor de rechten en vrijheden van de betrokkene”. 

De verschillende voorbeelden die de EDPB aanhaalt in de richtsnoeren hebben betrekking op ransomware, gegevens-exfiltratie aanvallen, interne menselijke risicobronnen, verloren of gestolen apparaten en papieren documenten, foutieve verzending, identiteitsdiefstal en e-mail-exfiltratie. Voor elk van de voorbeelden bespreekt de EDPB preventieve maatregelen, risicobeoordeling, risicobeperking en verplichtingen. De EDPB heeft een stappenplan gemaakt voor verwerkingsverantwoordelijken, om de acties die zij moeten ondernemen naar aanleiding van een datalek, in kaart te brengen. Indien een datalek geen “risico voor de rechten en vrijheden van de betrokkene” met zich mee brengt, hoeft dit datalek enkel in een intern register te worden geregistreerd. Is het risico wat hoger, dat moet daarnaast ook de toezichthoudende autoriteit op de hoogte gesteld worden. Bij een hoog risico voor de rechten en vrijheden van de betrokkene, moet het datalek tevens naar de betrokkene worden gecommuniceerd.

Het datalek waar in de inleiding sprake van was, kan worden geschaard onder de categorie ‘datalek als gevolg van een interne menselijke risicofactor’, of bijvoorbeeld ‘foutieve verzending’. Wat duidelijk is, is dat een medewerker van de GGD een fout heeft gemaakt, door het al dan niet per ongeluk openbaar maken van bijzondere persoonsgegevens. De aard van deze persoonsgegevens brengt een groot risico voor de rechten en vrijheden van de betrokkene met zich mee. Dit blijkt ook uit de richtsnoer van de EDPB, waarin, in situaties waarin bijzondere persoonsgegevens betrokken zijn bij het datalek, wordt gesteld dat naast het registreren van het datalek in interne registers, de toezichthoudende autoriteit én de betrokkene op de hoogte gesteld moeten worden. Bij een datalek van bijzondere persoonsgegevens kan een hoog risico voor de rechten en vrijheden van de betrokkene worden aangenomen.

ECLI:NL:RBNNE:2021:106_[6]

Een datalek kan tot gevolg hebben dat de toezichthouder een boete oplegt aan de verwerkingsverantwoordelijke. Daarnaast bestaat de kans dat de verwerkingsverantwoordelijke een schadevergoeding dient te betalen aan de betrokkene. Een recent praktijkvoorbeeld van dat laatste kan worden gevonden in de volgende uitspraak van de Rechtbank Noord-Nederland.

Op 9 december 2016 heeft eiser een omgevingsvergunning aangevraagd bij de gemeente Oldambt, voor het in gebruik nemen van een oude schietbaan. Hiertoe heeft eiser een formulier ingevuld, waarop onder andere zijn BSN-nummer, achternaam, voorletter, adresgegevens, telefoonnummer en e-mailadres zijn vermeld. Op 2 december 2018 is eiser erachter gekomen dat dit formulier al bijna twee jaar op de openbare website van gemeente Oldambt staat en dat het document met deze gevoelige gegevens inmiddels al vier keer is gepubliceerd. Normaal gesproken zouden, in het kader van de Algemene Verordening Gegevensbescherming (AVG) de persoonlijke gegevens van de ingediende aanvraag af worden gehaald, vóór de publicatie van een dergelijke aanvraag. In dit geval is dit niet gebeurd.

Op 2 december 2018 (dus na de inwerkingtreding van de AVG) heeft eiser meteen na zijn ontdekking een e-mail gestuurd naar de gemeente Oldambt, waarin wordt verzocht het document onmiddellijk te verwijderen van de website. Daarnaast sommeert eiser de gemeente Oldambt tot het betalen van een schadevergoeding. Hieraan legt eiser ten grondslag dat hij zowel materiële als immateriële schade heeft geleden als gevolg van de publicatie van zijn persoonsgegevens. Onder materiële schade schaart eiser het inbraak werend maken van zijn woning en het voorkomen van eventueel misbruik van deze persoonsgegevens, zoals identiteitsfraude, in de toekomst. Eiser stelt dat, nu criminelen het verband kunnen leggen tussen zijn adresgegevens, naam én het feit dat hij wapens bezit ter gebruik op de schietbaan, hij, en zijn gezin, doelwit zijn geworden. Als gevolg hiervan moet zijn huis beter beveiligd worden, wat flinke kosten met zich mee brengt. Onder de immateriële schade rekent eiser het feit dat hij sterke angstgevoelens heeft gehad als gevolg van de datalekken en dat er, aangezien de persoonsgegevens lange tijd ‘op straat hebben gelegen’, sprake is van aantasting van zijn persoon.

12 januari 2021 heeft de kantonrechter geoordeeld dat “de herhaalde datalekken op de website van de gemeente, waarbij bepaalde persoonsgegevens van eiser zonder zijn (voorafgaande) toestemming zijn gepubliceerd, te weten zijn e-mailadres, BSN-nummer en telefoonnummer, als inbreuken op de privacy van eiser als bedoeld in artikel 4 lid 12 AVG moeten worden aangemerkt”. De klager wordt een bescheiden vergoeding voor immateriële schade toegekend.

Conclusie

De AVG dwingt ondernemingen persoonsgegevens goed te beveiligen. Als dit niet gebeurt dan bestaat het risico op datalekken met soms hele kwalijke en ernstige gevolgen van dien. Toezichthouders kijken hier terecht heel kritisch naar. Kijkend naar de besluitvorming van de Autoriteit Persoonsgegevens tot nu toe dan blijkt dat ongeveer dat ongeveer 20% van de boetes betrekking had op gebrekkige beveiliging. Voor de lasten onder dwangsom loopt dit op tot circa 75%. In de praktijk is het soms lastig inschatten wat de impact van een datalek is. In dat opzicht is de praktische guidance vanuit de EDPB meer dan welkom. Hoe dan ook doen organisaties er verstandig aan om beveiliging van persoonsgegevens permanent op de agenda te hebben staan. Evenals de nodige aandacht voor privacy awareness, want hoe goed de beveiliging in technische zin ook is, de factor mens in privacybescherming en informatiebeveiliging verdient minstens zoveel aandacht!

Meer weten over datalekken en privacy? Neem gerust contact op met een van de leden van het privacyteam.

_Bronnen:

_{1: RTL Nieuws, ‘Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD’ (25 januari 2021).
2: Art. 33 AVG.
3: WP 250 endorsed by EDPB. Zie ook eerdere documenten van de Working Party: WP 213 (2014), WP 197 (2012) (over Telecommunicatie en datalekken) en WP 184 (2011).
4: EDPB, ‘Guidelines 01/2021 on Examples regarding Data Breach Notification’ (19 januari 2021).
5: Ibid.
6: Rechtbank Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.}