Een lezer vroeg me:
Laatst heeft een bedrijf mijn gegevens gelekt en mij hierover geïnformeerd. Er werd echter niet vermeld of er ook melding bij de Autoriteit Persoonsgegevens was gedaan. Moet een bedrijf dit ook aan de gedupeerden van een datalek laten weten?
De AVG kent twee aparte regels voor het melden van datalekken. Allereerst is er de meldplicht bij de toezichthouder, in Nederland dus de Autoriteit Persoonsgegevens. Hier moet een datalek worden gemeld “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt” (artikel 33 lid 1 AVG). En wanneer een datalek “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden”, moet je ook de betrokkenen informeren (artikel 34 lid 1 AVG). Formeel heet dit overigens een “mededelingsplicht”, melden doe je immers bij autoriteiten en particulieren deel je iets mede.
In de mededeling moet je in duidelijke en eenvoudige taal (dat is taalniveau B2, zeg maar de folder bij de apotheek) aangeven wat er is gebeurd, welke gegevens zijn gelekt, welke gevolgen dit kan hebben en welke maatregelen zijn genomen om die gevolgen te beperken. De mededeling hoeft dan weer niet als je direct na het lek de boel hebt gedicht én kunt aantonen dat er nul consequenties zullen zijn. Denk aan alle gelekte wachtwoorden resetten én in je logs nagaan dat er geen inlogpogingen zijn geweest tussen het lek en de reset.
De AVG zegt niet expliciet dat je in de mededeling moet melden dat er een melding aan de AP is gedaan. Juridisch gezien is het echter ondenkbaar dat je wél de betrokkenen zou informeren maar geen melding aan de AP zou doen. Het criterium van “waarschijnlijk hoog risico” is immers strenger dan “tenzij risico niet waarschijnlijk”. Uit het feit dat je een mededeling hebt gehad, mag je dus concluderen dat er een melding is gedaan.
Het lijkt mij een triviale toevoeging en ik zou het dus ook altijd in de brief zetten, al is het maar als deel van die maatregelen die je hebt genomen en/of geruststellende uitleg dat het goed gaat komen.
Arnoud
Je kunt betrokkenen ook informeren zonder de juridische noodzaak. Bijvoorbeeld omdat je beleid hebt om altijd iedere betrokkene te informeren. Dan is dus niet automatisch ook het criterium van de melding naar de AP overschreden.
“De mededeling hoeft dan weer niet als je direct na het lek de boel hebt gedicht én kunt aantonen dat er nul consequenties zullen zijn. Denk aan alle gelekte wachtwoorden resetten én in je logs nagaan dat er geen inlogpogingen zijn geweest tussen het lek en de reset.” Ik vind dat er ook dan een mededeling over het lek aan de betrokkenen gedaan moet worden. Al is het maar om te waarschuwen dat indien deze betrokkenen zo onverstandig zijn geweest om hetzelfde gelekte wachtwoord ook elders in gebruik te hebben, dit wachtwoord meteen overal moeten aanpassen.
Dan is er toch sowieso sprake van ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden’? Tenzij het gelekte wachtwoord met een unieke salt is gehashed.
Zou best een aardig zelfreguleringsdingetje zijn als de AP na een melding een unieke code verstrekt aan de melder om te verstrekken aan de getroffenen bij de mededeling. Als getroffenen deze code dan weer kunnen checken op de site van de AP, als valide – of niet – bv met datum als validator – dan weet een getroffene tenminste dat de AP op de hoogte is en waarschijnlijk de melder geen spelletje met hem speelt.