Please select a page template in page properties.

Datalekken

Hoe vaak komt het woord ‘datalek’ in de wettekst van de AVG voor denk je? Let op; dat is precies nul keer. Om te begrijpen waarom dat zo is moeten we eerst beter kijken wat een datalek eigenlijk is.

Het gaat er bij een datalek om dat het principe uit artikel 5.1f („integriteit en vertrouwelijkheid”) is geschonden:

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Je ziet in dit principe dat een datalek dus niet alleen gaat over bijvoorbeeld het verliezen van een USB-stick met persoonsgegevens, maar dat ook de onopzettelijke vernietiging of beschadiging van data en het verliezen van data een schending van het principe (en daarmee in de volksmond een ‘datalek’) betekent. Eigenlijk kun je zeggen dat een ‘datalek’ twee dingen kan betekenen: 

  • Onrechtmatige en ongeoorloofde toegang (schending van de vertrouwelijkheid); 
  • Vernietiging, verlies of beschadiging van data (schending van de integriteit).

Het te lang bewaren van persoonsgegevens is dus geen ‘datalek’ blijkt uit bovenstaande tekst, maar wel een onrechtmatig verwerking van die persoonsgegevens. In het geval een onderzoeker dus met een (sterk) verouderde dataset werkt is deze dus ook niet AVG-compliant. Overkomt je een van deze ‘datalekken’, dan betekent het dat de beveiliging van de data niet voldoende op orde is gebleken. Hier zit een grens aan, want wat nou als een professionele hackersclub met honderden leden zich toegang tot jouw dataset verschaft? In dat geval is principe 5.2 van belang:

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

De verantwoordingsplicht betekent zoals we al eerder bespraken dat de onderzoeker (met ondersteuning van de privacy officers) moet kunnen aantonen dat zij alle proportionele technische en organisatorische maatregelen hebben getroffen om de data zo goed als mogelijk te beschermen. Kan de onderzoeker dat niet aantonen, dan loopt deze het risico op een boete.

Boetes

De boetes voor het niet voldoende beschermen van persoonsgegevens zijn onder te verdelen in twee categorieën (https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN#page=82): 

  1. Artikel 83.4: geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
  2. Artikel 83.5: geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar.

De hoogte van de boete is mede afhankelijk van de mate waarin de artikel 5 principes zijn overtreden. Des te meer en des te ernstiger de principes zijn overtreden, des te hoger de boete zal uitvallen. Maar het overtreden van de principes kan nog meer consequenties hebben dan alleen een boete. Zo kunnen betrokkenen zich terug willen trekken uit een onderzoek. Ook kan het gebeuren dat men op grote schaal een verzoek tot inzage in hun data (een ‘data subject request’) doen. En stel je eens voor dat een hacker toegang tot een dataset van een onderzoeker krijgt waardoor blijkt dat de onderzoeker bepaalde data al 30 jaar bewaart. In dat geval heeft de onderzoeker heel wat uit te leggen waarom die data na al die tijd nog bestaat.

Ter afsluiting: het is voor een onderzoeker van groot belang om te weten dat ieder ‘datalek’ een melding behoeft bij jou als privacy officer of direct bij de FG. Een onderzoeker kan en mag nooit zelf een oordeel vellen over de ernst van een datalek; de onderzoeker is alleen verplicht het datalek zo snel als mogelijk te melden.