Booking.com, Odido, Basic-Fit, Rituals, gemeente Epe – de lijst groeit. Allemaal grote organisaties die onlangs zijn getroffen door een datalek. Een vraag die vaak wordt gesteld is: wat vereist de AVG in die situaties? In deze blog worden twee belangrijke verplichtingen toegelicht: de beveiliging van persoonsgegevens en de meldplicht bij datalekken. Ook wordt stilgestaan bij de mogelijke gevolgen als dit niet wordt nageleefd.
Wat er speelde
In de hiervoor genoemde datalekken gezamenlijk zijn ten minste de volgende persoonsgegevens getroffen: namen, (e-mail)adressen, geslacht, geboortedata, lidmaatschapsgegevens, boekingsinformatie, bankgegevens en zelfs kopieën en nummers van identiteitsbewijzen. De gegevens zijn op zichzelf misschien niet allemaal gevoelig, maar samen zijn ze aantrekkelijk voor misbruik.
Wat de AVG vereist
Passende beveiliging (artikel 32 AVG)
De AVG verplicht organisaties passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Dit omvat pseudonimisering en versleuteling van persoonsgegevens, het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van systemen, het snel kunnen herstellen van toegang tot de persoonsgegevens na een incident en het regelmatig testen of de genomen maatregelen ook daadwerkelijk werken. Concreet kan dit betekenen: sterke wachtwoordvereisten en multifactorauthenticatie, beperkte toegangsrechten, versleuteling van gevoelige data en periodieke security audits. Naast technische maatregelen zijn ook de organisatorische maatregelen, zoals trainingen van medewerkers, belangrijk. Welke beveiligingsmaatregelen "passend" zijn, hangt af van de risico's: hoe gevoeliger de gegevens en hoe meer betrokkenen, hoe zwaarder de eisen.
Het antwoord op de vraag welke beveiliging “passend” is, kan overigens ook samenhangen met andere wet- en regelgeving. Denk dan bijvoorbeeld aan de Cyberbeveiligingswet – de Nederlandse implementatie van de NIS2-richtlijn, (op dit moment aanhangig bij de Eerste Kamer).
Bij een datalek: melden (artikelen 33 en 34 AVG)
Treedt er toch een datalek op, dan kan er een meldplicht gelden richting de privacytoezichthouder (de Autoriteit Persoonsgegevens, hierna “AP”) en de betrokkenen. Een melding aan de AP is vereist als het datalek een risico oplevert voor de rechten en vrijheden van betrokkenen. Dit moet binnen 72 uur na kennisneming van het datalek gebeuren. Bestaat er waarschijnlijk een hoog risico voor betrokkenen – bijvoorbeeld bij een lek van gezondheidsgegevens of BSN – dan moeten ook zij onverwijld worden geïnformeerd in duidelijke en begrijpelijke taal. Die mededeling bevat ten minste: de aard van de inbreuk, contactgegevens voor meer informatie, de waarschijnlijke gevolgen en de (getroffen) maatregelen.
Let op dat er daarnaast ook andere meldplichten kunnen bestaan bij een datalek, afhankelijk van de aard van het incident en de branche. Zo geldt voor organisaties in de financiële sector op basis van de Digital Operational Resilience Act (DORA) een meldplicht bij de AFM voor ernstige ICT-incidenten. Voor organisaties die onder de Cyberbeveiligingswet vallen geldt een meldplicht voor “significante” cyberbeveiligingsincidenten. Dit is het geval als het incident een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie (mogelijk) veroorzaakt of als het (mogelijk) entiteiten treft of heeft getroffen door aanzienlijke materiële of immateriële schade te veroorzaken. Een ransomware-aanval waarbij systemen worden gegijzeld, is hiervan een duidelijk voorbeeld. Op grond van de Cyberbeveiligingswet dient allereerst en onverwijld, of in ieder geval binnen 24 uur na kennisname, een vroegtijdige waarschuwing gestuurd te worden naar de relevante autoriteit over het significante incident. Daarna geldt als uitgangspunt dat binnen 72 uur de melding opgevolgd moet worden met onder meer een initiële beoordeling en update van informatie (uitzonderingen daargelaten).
Sancties en schadevergoeding
Schiet een organisatie tekort (omdat bijvoorbeeld passende beveiligingsmaatregelen ontbraken of het datalek niet tijdig is gemeld), dan kan dit leiden tot een boete van de AP, schadeclaims van betrokkenen en reputatieschade. De boete kan bij schending van de beveiligingsverplichting en de meldplicht bij datalekken per overtreding oplopen tot € 10 miljoen of 2% van de wereldwijde jaaromzet van de organisatie. Dit is bijvoorbeeld bij Booking.com gebeurd. De AP legde een aantal jaar geleden een boete op van € 475.000 omdat het bedrijf een datalek – waarbij de creditcardgegevens van bijna 300 klanten waren buitgemaakt – pas na 22 dagen meldde in plaats van binnen de vereiste 72 uur. Ook kreeg het UWV een boete van € 450.000 voor negen datalekken waarbij de gegevens van meer dan 15.000 werkzoekenden onbedoeld zichtbaar waren in een online applicatie.
Betrokkenen kunnen daarnaast een schadevergoeding eisen. Het aantonen van die schade is in de praktijk niet eenvoudig: hoewel er geen ondergrens geldt, moet een betrokkene wel laten zien dat het datalek daadwerkelijk nadeel heeft opgeleverd. Het enkele feit dat de AVG is overtreden is niet genoeg. Deze schadeclaims worden steeds reëler, zo blijkt uit de recent gestarte WAMCA-procedures (Wet Afwikkeling Massaschade in Collectieve Actie) tegen Odido en Clinical Diagnostics.
Conclusie
Voorkomen is beter dan genezen. Investeer in passende technische en organisatorische maatregelen om incidenten zoals datalekken zoveel mogelijk te voorkomen en schade te beperken. Gaat het toch mis, handel dan adequaat: breng de feiten snel in kaart en zorg voor het tijdig naleven van meldplichten. Een goede voorbereiding en een helder ingerichte datalekprocedure maken het verschil tussen een beheersbaar incident en een situatie die snel escaleert.
Heeft u vragen over uw privacyverplichtingen of wilt u weten waar uw organisatie staat? Ons Privacyteam denkt graag met u mee.
.png?width=243&height=156&name=Ontwerp%20zonder%20titel%20(1).png)