Onlangs legde de Autoriteit Persoonsgegevens (AP) Booking.com een boete van € 475.000 op omdat het een datalek te laat meldde bij de AP. Bij dit datalek maakten criminelen persoonsgegevens van 4.000 klanten buit, waaronder de creditcardgegevens van bijna 300 klanten. In dit blog vertelt Oprecht Advocaten wanneer u een datalek bij de AP moet melden. 

Wat is een datalek?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In deze Europese verordening is bepaald hoe organisaties moeten omgaan met datalekken.

De term ‘datalek’ wordt in de AVG zelf niet gebruikt. De AVG spreekt van een ‘inbreuk in verband met persoonsgegevens’. Hiervan is sprake bij een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of opzettelijk leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verwerkte persoonsgegevens.

Voorbeelden datalek

Bekende voorbeelden van datalekken zijn het verlies of de diefstal van een usb-stick of een laptop met daarop persoonsgegevens. Maar ook bij de besmetting van een pc met ransomware, het wissen van een uniek bestand met persoonsgegevens, het versturen van een e-mail met persoonsgegevens naar een verkeerd geadresseerde of het telefonisch doorgeven van inloggegevens van klanten (zoals in het geval van Booking) spreken we van een datalek.

Wanneer moet u een datalek melden?

Als er sprake is van een ernstig datalek, moet u het datalek uiterlijk 72 uur nadat u het heeft ontdekt bij de AP melden. Een datalek is ernstig als het lek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Is dit niet waarschijnlijk? Dan hoeft u het datalek niet te melden (u moet het dan overigens wel opnemen in uw register datalekken). 

Om u te helpen bepalen of er sprake is van een ernstig datalek heeft de AP op de website verschillende hulpmiddelen opgenomen. Als duidelijk is dat u het datalek moet melden, dan kan dat online, via het Meldloket datalekken van de AP.

Let op: moet u het datalek melden aan de AP? Dan moet u, als dit lek een hoog risico oplevert voor de personen van wie de persoonsgegevens zijn gelekt, het lek ook aan hen melden.

Boete Booking.com

In de casus van Booking.com werd Booking op 13 januari 2019 op de hoogte gebracht van het datalek. Op 4 februari 2019 stelden zij de getroffen klanten op de hoogte van het lek en namen zij maatregelen om de schade te beperken. Zo boden zij de getroffen klanten onder meer aan om de schade te vergoeden. Vervolgens maakte Booking op 7 februari melding van het datalek bij de AP. Dat was 22 dagen te laat.

Volgens de AP is de termijn van 72 uur er niet voor niets. Door een datalek snel te melden, kan de AP een onderneming direct na de melding opdragen om bepaalde maatregelen te nemen, zoals het waarschuwen van getroffen klanten. Daarmee kan worden voorkomen dat – zoals in het geval van Booking – criminelen weken de tijd krijgen om door te gaan met hun activiteiten.

Pro forma melding

In veel gevallen zal het direct duidelijk zijn dat er sprake is van een ernstig datalek. Maar bij sommige datalekken zal er meer onderzoek nodig zijn. Is het dan mogelijk om eerst dit onderzoek te doen en – als dat nodig is – daarna (dus later dan 72 uur) een melding te maken bij de AP?

Hoewel de AVG daarvoor wel de ruimte lijkt te bieden, adviseren wij u – gelet op de boete die Booking heeft gekregen – om dat niet te doen. De AVG en het meldingsformulier van de AP geven namelijk ook de optie om een zogenaamde ‘pro forma melding’ (een voorlopige melding) te maken. Daarmee kunt u het datalek binnen 72 uur melden, waarna u alsnog de tijd krijgt om het te onderzoeken. Als de resultaten van dat onderzoek bekend zijn, kunt u een vervolgmelding doen.

Vragen?

Heeft u hier vragen over? Of is uw onderneming geconfronteerd met een datalek en twijfelt u of u het lek moet melden? Neem dan gerust contact op met Louisa Waalkes, via l.waalkes@oprecht.nl of 0229-285070.