In december 2021 is de laatste versie aangenomen van de Guidelines 01/2021 over voorbeelden met betrekking tot datalekmeldingen, opgesteld door de European Data Protection Board (EDPB). De richtsnoeren zijn op 3 januari jl. gepubliceerd. Ze zijn bedoeld om verwerkingsverantwoordelijken te helpen bij het bepalen hoe zij moeten omgaan met een datalek en welke factoren zij moeten betrekken in de risico-afweging die daar aan te pas komt.
Kern van de Richtsnoeren
Begin 2021 wijdden wij al een blogbericht aan Datalekken & de AVG, mede naar aanleiding van de publicatie van deze richtsnoeren. Hierna stonden de richtsnoeren open voor publieke consultatie. Het recent vastgestelde document is bedoeld om verwerkingsverantwoordelijken handvatten te bieden bij het herkennen en afhandelen van datalekken. Het geeft antwoord op vragen als ‘Wanneer is sprake van een datalek?’ en ‘Wanneer moet een datalek gemeld worden aan de gegevensbeschermingsautoriteit, en in welke gevallen tevens aan de betrokkene(n)?’ Bovendien worden voorbeelden gegeven van vooraf te treffen beveiligingsmaatregelen, in het kader van risicobeperking.
In de nieuwe richtsnoeren worden enkele specifieke, veelvoorkomende scenario’s uitgelicht. Het gaat om datalekken ontstaan door:
- ransomware (gijzelsoftware);
- data exfiltratie aanvallen (bijvoorbeeld het onderscheppen van versleutelde wachtwoorden van een website);
- interne menselijke risicobronnen (bijvoorbeeld het downloaden van bedrijfsgegevens door een werknemer);
- verloren of gestolen apparaten en papieren documenten;
- verkeerd geadresseerde poststukken of e-mails; en
- social engineering (bijvoorbeeld identiteitsfraude en e-mail fraude).
Van al deze scenario’s worden enkele specifieke voorbeelden gegeven en er wordt per voorbeeld ingegaan op risicoanalyse, -beperking en verplichtingen voor de verwerkingsverantwoordelijke.
Aanvulling op eerdere datalekdocumentatie
De recent aangenomen Guidelines vormen een aanvulling op de richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens uit februari 2018 van de Artikel 29 werkgroep (WP29), de voorganger van de EDPB. De EDPB heeft deze eerdere richtlijnen in de nieuwe Guidelines integraal overgenomen.
Een ander behulpzaam document voor organisaties bij het bepalen of sprake is van een datalek of niet en of gemeld moet worden of niet, is de in juni 2019 door de Autoriteit Persoonsgegevens (AP) gepubliceerde lijst met voorbeelden van datalekken.
Datalekken in de praktijk – terugblik op de datalek-gerelateerde boetes in 2021
In november 2021 legde de AP vliegtuigmaatschappij Transavia een boete op van €400.000 wegens slechte beveiliging van persoonsgegevens. Als gevolg daarvan kreeg in 2019 een hacker toegang tot de systemen van Transavia en werden persoonsgegevens van 83.000 betrokkenen gedownload. Een datalek dus, maar Transavia meldde dit tijdig bij de AP en de betrokkenen werden netjes geïnformeerd. Dat is gebeurt echter lang niet altijd. In sommige gevallen omdat men zich niet bewust is van het ont-/of bestaan van een datalek, in andere gevallen omdat men bij het uitvoeren van de belangenafweging een verkeerde afweging maakt.
Van de elf in 2021 door de AP openbaargemaakte boetes houden er zes verband met een datalek. Twee daarvan zien specifiek op het niet (op tijd) melden van het datalek. Dat betreft de boete aan Booking.com in maart 2021 (niet tijdig gemeld) en de boete aan PVV Overijssel in mei 2021 (niet gemeld). De grondslag van de overige boetes was het hebben van ontoereikende technische en organisatorische maatregelen om informatiebeveiliging te waarborgen, waardoor dus een datalek is ontstaan.
De boetes in verband met slechte beveiliging waaruit datalekken voortvloeien en/of niet (op tijd) melden van datalekken, zijn niet mals (variërend van €7.500,- (na matiging vanwege beperkte financiële draagkracht) tot €475.000,-). Wordt een datalek niet of niet op tijd gemeld, dan zal een boete doorgaans hoger uitvallen.
Belang van awareness en een datalekprotocol
Vanzelfsprekend staat voorop dat men datalekken zoveel mogelijk moet voorkomen, onder andere door personeel bewust met persoonsgegevens te laten omgaan en de juiste technische en organisatorische maatregelen te treffen. Maar ook een datalek zit in een klein hoekje. Het is daarom van belang dat men datalekken accuraat weet te signaleren. Weten werknemers wat zij moeten doen bij een (vermoeden van) een datalek? Bij welke personen binnen de organisatie moeten zij zich melden?
Het opstellen en hanteren van een datalekprotocol helpt de daartoe aangewezen personen bij het intern registreren van datalekken en het maken van de juiste afwegingen omtrent het melden van het datalek. De Guidelines van de EDPB bieden nuttige inzichten en praktische handvatten bij het beantwoorden van deze vragen.
Heeft u vragen over het voorkomen en/of afhandelen van datalekken? Neem contact op met Julia Driessen (julia.driessen@vdb-law.nl) of een van de andere leden van het privacy team van VDB Advocaten.