Beeldmateriaal dat mogelijk als bewijs kon dienen van wangedrag door Maccabi Tel Aviv-supporters in Amsterdam, bleek per ongeluk gewist, zo meldde de NOS onlangs. Daardoor moesten diverse strafzaken worden geseponeerd. Voor vele lezers gaf dit de vraag: is dit een datalek onder de AVG?
Het is volgens mij breed bekend dat ook verlies van gegevens kan tellen als een datalek. Dat staat ook expliciet in de definitie van die term, formeel “inbreuk op de beveiliging” (art. 4 lid 12 AVG):
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;De bijbehorende nuance van de toezichthouder is wel dat dit alleen geldt als er geen kopie of back up is. Het achterliggende idee is namelijk dat je zonder backup als betrokkene rechten kunt verliezen – bewijs maar eens dat je in de administratie stond als die weg is, of dat je betaald hebt als je betalingsbewijs is gewist.
Wat is hier gebeurd:
Het GVB bevestigt [tegenover de NOS] dat op 12 november, vijf dagen na de ongeregeldheden in de stad, de opnamerecorders zijn vervangen. Dit stond al langer gepland. “Helaas heeft deze noodzakelijke ingreep, in combinatie met de beperkte bewaartermijn, ertoe geleid dat de betreffende beelden niet meer beschikbaar waren”, aldus een woordvoerder. Het GVB zegt overigens dat beelden soms ook korter dan een week worden opgeslagen.Maar let op, niet iedere vorm van verlies van gegevens is automatisch al een datalek. Zie het begin van de definitie: er moet sprake zijn van een “inbreuk op de beveiliging”, oftewel een geschonden beveiligingsmaatregel. Een geautoriseerde gebruiker die besluit persoonsgegevens te wissen, veroorzaakt dus géén datalek ook al lijdt de betrokkene daar schade door.
Hier zijn de gegevens gewist binnen de organisatorisch geldende bewaartermijnen. Zo te lezen door slordig handelen: er komen nieuwe recorders, de oude mogen weg, oh ja oeps op de oude stonden nog beelden maar die dingen liggen al bij de recycling.
Ik zie hier niet meteen hoe de beveiliging van de persoonsgegevens is geschonden. Zeker, zorgen dat gegevens bewaard blijven is deel van de beveiliging (art. 32(1)(b) AVG noemt “beschikbaarheid garanderen” expliciet) maar als besloten wordt gegevensdragers buiten gebruik te stellen dan is dat gewoon een keuze, een legitiem handelen van de organisatie.
Dat dit gebeurde voordat de bewaartermijn was verstreken, is daarbij voor mij niet relevant. Dat is een zelfgekozen maximum voor het bewaren, geen toezegging dat de gegevens zo lang beschikbaar zullen blijven. En zelfs áls het als toezegging is geformuleerd, dan is weliswaar sprake van een fout van de organisatie maar niet van een geschonden beveiliging.
Arnoud