Wat is een datalek?
In dit artikel leest u wat een datalek is. Wat er gebeurt als een datalek aan het licht komt en uw eigen rol daarin. Bijvoorbeeld door uw privacyrechten te gebruiken en het claimen van een schadevergoeding.
Voorbeeld
U hoort dat er een datalek is ontdekt bij een organisatie waar u onlangs mee te maken had. Bijvoorbeeld een webwinkel, of een overheidsinstantie. Misschien heeft de organisatie u al verteld dat uw gegevens mogelijk bij het lek betrokken zijn. U maakt zich zorgen en vraag zich af: hoe zit dit en wat kan ik zelf doen?
Iedere inbreuk op de beveiliging van persoonsgegevens is een datalek
Het begrip ‘datalek’ is dus een zeer ruim begrip. Alle organisaties die persoonsgegevens verwerken, moeten genoeg technische en organisatorische voorzorgsmaatregelen nemen om die gegevens te beschermen. Dit is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Soms gaat het mis. We spreken van een datalek als er onbedoeld persoonsgegevens zijn vrijgegeven, of iemand daar onbedoeld toegang tot heeft gehad. Ook onbedoelde vernietiging, wijziging, of verlies van persoonsgegevens levert een datalek op.
‘Persoonsgegevens’ omvat meer dan alleen naam en adres
Het begrip 'persoonsgegeven' is een zeer breed begrip. Volgens de AVG zijn persoonsgegevens alle gegevens die direct over iemand gaan of naar een persoon te herleiden zijn. Maar niet alle persoonsgegevens zijn gelijk. Er wordt onderscheid gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens.
- Normale persoonsgegevens zijn gegevens die vaak al openbaar zijn en nodig zijn om u te identificeren. Zoals naam, adres en woonplaats.
- Bijzondere persoonsgegevens zijn gevoelige gegevens die zien op uw persoonlijke levenssfeer. Zoals ras, godsdienst of gezondheid. Deze laatste categorie gegevens heeft extra wettelijke bescherming.
Een datalek kan vervelende gevolgen hebben
Persoonsgegevens worden gebruikt om u te identificeren en kunnen voor dat doel dus ook misbruikt worden. Lang niet altijd eist een organisatie dat u zich in persoon legitimeert met een identiteitsbewijs. Zeker niet nu alles steeds meer op afstand gebeurt. Daarmee bestaat dus het risico op identiteitsfraude. Als u daarvoor vreest is het van groot belang dat u snel en goed handelt. Wilt u daar meer over weten? Lees dan ons artikel over identiteitsfraude.
Datalek melden bij de Autoriteit Persoonsgegevens
Een datalek kan vervelende gevolgen hebben. Daarom moeten organisaties datalekken altijd registreren in hun eigen datalekregister. Ernstige datalekken moeten zij daarna melden bij de Autoriteit Persoonsgegevens (AP). Een datalek is ernstig als het mogelijk fysieke, materiële of immateriële schade voor de betrokkenen met zich mee brengt.
De Autoriteit Persoonsgegevens houdt toezicht en controleert
Doet de organisatie bijvoorbeeld geen melding, terwijl dit wel zou moeten? Dan kan de AP een boete opleggen van maximaal €10.000.000,- of 2% van de wereldwijde omzet. Doet de organisatie wel een melding, dan controleert de AP of de procedures goed zijn gevolgd.
Datalek melden aan slachtoffers
Een datalek heeft een hoog risico als deze fysieke, materiële of immateriële schade voor de betrokkenen kan veroorzaken. In dat geval moet organisatie alle betrokkenen persoonlijk te informeren over het datalek. Of er sprake is van een hoog risico wordt per geval beoordeeld. Er wordt dan met name gekeken naar de combinatie van gegevens die bij het lek betrokken zijn. Denk bijvoorbeeld aan een situatie waarbij complete paspoortkopieën, creditcardgegevens of burgerservicenummers in combinatie met andere persoonsgegevens betrokken zijn. In zo’n geval spreken we van een datalek met een hoog risico. Meer informatie over het melden van datalekken aan slachtoffers vindt u hier.
Privacyrechten die u kunt gebruiken
Zijn uw persoonsgegevens gelekt, dan is daaraan – hoe vervelend ook – helaas niets meer te doen. Het lek kan immers niet meer worden teruggedraaid. Wel kunt u gebruik maken van uw privacyrechten. Zo heeft u bijvoorbeeld recht op inzage in de persoonsgegevens die een organisatie van u heeft. Of u kunt vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen. Deze rechten heeft u overigens ook als er geen sprake is van een datalek.
Schadevergoeding krijgen is erg moeilijk
Dat uw privacy geschonden is, betekent niet automatisch dat u een schadevergoeding kunt krijgen. Meestal kan dit namelijk niet. Volgens het aansprakelijkheidsrecht moet u namelijk kunnen aantonen dat u schade lijdt. Daarbij moet u aantonen dat er een oorzakelijk verband is tussen uw schade en de fout van de tegenpartij. Dit is bij datalekken meestal erg moeilijk. Wat is immers uw financiële schade? Dat u zich er – overigens zeer begrijpelijk – zorgen om maakt, is geen financiële schade. En een risico op identiteitsfraude maakt nog niet dat u nú al schade lijdt. Lijdt u dan toch schade? Dan is het moeilijk te bewijzen dat dit komt door dat ene datalek, en niet door iets anders.
Kleine schadevergoeding is soms mogelijk
Heel soms kunt u een kleine immateriële schadevergoeding claimen als u de controle bent verloren over uw persoonsgegevens. Om daarvoor in aanmerking te komen, moet uw zaak tenminste aan de volgende voorwaarden voldoen:
- De organisatie waar het lek plaatsvond heeft concreet de betrokkenheid van uw gegevens bevestigd.
- Het gaat om een datalek met een hoog risico.
- U kunt aannemelijk maken dat u daar nadeel door ondervindt. U heeft bijvoorbeeld meteen uw zorgen geuit bij de organisatie. En u kunt concreet onderbouwen op welke manier(en) u mogelijk bent benadeeld.