Datalekken in het nieuws: wat zegt de AVG?

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
Datalekken-nieuws-wat-zegt-avg

De afgelopen weken was het onderwerp ‘datalekken’ weer even hot topic in het actuele nieuws. Het GGD-datalek stond daarbij op de voorgrond, maar de EDPB heeft ook nieuwe (concept)richtlijnen opgesteld ter consultatie. Wat is een datalek en wat zegt de AVG daarover?

Definitie

Ingevolge de AVG is sprake van een datalek in geval van de vernietiging, het verlies, de wijziging of ongeoorloofde toegang tot persoonsgegevens door een inbreuk op de beveiliging. Een dergelijke inbreuk kan bijvoorbeeld geschieden door een hack of een gestolen USB-stick. Bij het GGD-datalek stonden de persoonsgegevens uit de coronasystemen bijvoorbeeld te koop op het internet, ook wel illegale datahandel genoemd.

Verreweg de meest gemelde datalekken gebeuren echter per ongeluk, zoals een naar een verkeerde ontvanger verstuurde e-mail of een vergeten laptop bij een klant. Zo had een (inmiddels ontslagen) medewerker van het HagaZiekenhuis een lijst met namen en andere patiëntgegevens gebruikt als boodschappenlijstje en vergeten in een winkelkarretje van de supermarkt.

Beveiliging

Een datalek kan elke organisatie gebeuren. Wanneer ergens een datalek plaatsvindt, betekent dit dan ook niet per definitie dat de organisatie niet betrouwbaar is. De AVG verplicht organisaties echter wel om passende beveiligingsmaatregelen te nemen om een datalek te voorkomen. Het HagaZiekenhuis had deze beveiliging niet op orde. Dit bleek nadat naar aanleiding van het datalek een onderzoek was ingesteld door de AP. Tientallen medewerkers van het ziekenhuis hadden onnodig in het patiëntendossier van bekende Nederlander ‘Barbie’ gekeken. De AP oordeelde dat het HagaZiekenhuis onvoldoende beveiligingsmaatregelen had getroffen omdat het ziekenhuis niet regelmatig controleerde wie welk dossier raadpleegde en omdat er geen tweefactorauthenticatie was vereist voor het raadplegen van dossiers. Inloggen kon namelijk met gebruikersnaam en wachtwoord, zonder het scannen van de unieke personeelspas. Het ziekenhuis kreeg daarom een boete van 460.000 euro.

Ook bij de GGD was de (onvoldoende) beveiliging de oorzaak van het datalek. De GGD-medewerkers, waaronder veel uitzendkrachten, hadden namelijk een te vrije toegang tot de persoonsgegevens in de coronasystemen. Het is bijvoorbeeld niet noodzakelijk om als GGD-medewerker van een bepaalde regio te kunnen kijken in de systemen van een andere regio, hetgeen wel het geval was. Ook zou er nauwelijks controle plaatsvindenDe AP heeft inmiddels opheldering geëist van de GGD.

Meldplicht

Op 19 januari 2021 heeft de EDPB nieuwe (concept)richtlijnen gepubliceerd ter consultatie over de meldplicht datalekken. Verwerkingsverantwoordelijken zijn namelijk verplicht om binnen 72 uur een datalek te melden zodra de verwerkingsverantwoordelijke van het datalek op de hoogte is. Dit kan in Nederland bij het Meldloket datalekken Autoriteit Persoonsgegevens. Een uitzondering voor de meldplicht geldt indien het gaat om datalekken die waarschijnlijk geen risico opleveren voor de rechten en vrijheden van de betrokkenen. De definitieve richtlijnen moeten verwerkingsverantwoordelijken hulp bieden bij de beslissing hoe ze datalekken moeten aanpakken en met welke factoren ze rekening moeten houden bij deze risicobeoordeling. Bij het GGD-datalek gaat het om een zeer groot aantal persoonsgegevens, waaronder contactgegevens, burgerservicenummer en medische uitslagen. Het risico op identiteitsfraude is daarom hoog. De GGD is logischerwijs verplicht om dit datalek te melden aan de Autoriteit Persoonsgegevens. De EDPB noemt daarbij maar liefst 18 praktijkvoorbeelden.  Gezien het belang van het onderwerp roepen wij op om gebruik te maken van de mogelijkheid om op de conceptrichtlijnen te reageren. Dit kan tot 2 maart 2021.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Volg onze publicaties

cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.