Wat is een datalek en wat kunt u zelf doen als u daar (misschien) slachtoffer van geworden bent?

In dit artikel leest u wat een datalek is, wat er gebeurt nadat een datalek aan het licht komt en welke rol u daar zelf in kunt hebben, bijvoorbeeld door het gebruiken van uw privacy-rechten en het claimen van schadevergoeding.

Voorbeeld

U leest in een artikel of ziet op televisie dat er een datalek is ontdekt bij een organisatie waarmee u te maken heeft gehad. Dit kan een webwinkel zijn, maar ook een overheidsinstantie. Misschien heeft u zelfs al een brief of e-mail gehad waarin de organisatie u vertelt dat uw gegevens (mogelijk) bij het lek betrokken zijn. U maakt zich zorgen en vraag zich af: hoe zit dit en wat kan ik zelf doen?

Iedere inbreuk op de beveiliging van persoonsgegevens is een datalek

Het begrip ‘datalek’ is dus een zeer ruim begrip. De Algemene Verordening Gegevensbescherming (AVG) verplicht alle organisaties die persoonsgegevens verwerken om voldoende technische en organisatorische voorzorgsmaatregelen te nemen om die persoonsgegevens te beschermen. Soms gaat het mis. We spreken dan van een datalek indien er onbedoeld persoonsgegevens zijn vrijgegeven, of iemand daar onbedoeld toegang tot heeft gehad. Ook de onbedoelde vernietiging, wijziging, of het onbedoelde verlies van persoonsgegevens levert een datalek op.

Het begrip ‘persoonsgegevens’ omvat veel meer dan bijvoorbeeld uw naam en adres

Ook het begrip 'persoonsgegeven' is een zeer breed begrip. Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn alle gegevens die ofwel direct over iemand gaan, ofwel naar een persoon te herleiden zijn, persoonsgegevens. Maar niet alle persoonsgegevens zijn gelijk. Er wordt onderscheid gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens. Normale persoonsgegevens zijn gegevens die vaak al openbaar zijn en nodig zijn om u te identificeren, zoals uw naam, adres en woonplaats. Bijzondere persoonsgegevens zijn gevoelige gegevens die zien op uw persoonlijke levenssfeer, zoals uw ras, godsdienst of gezondheid. Deze laatste categorie gegevens hebben extra wettelijke bescherming.

Een datalek kan vervelende gevolgen voor u hebben

Persoonsgegevens worden gebruikt om u te identificeren en kunnen voor dat doel dus ook misbruikt worden. Lang niet altijd eist een organisatie dat u zich in persoon legitimeert met een identiteitsbewijs, zeker niet nu alles steeds meer op afstand gebeurt. Daarmee bestaat dus het risico op identiteitsfraude. Als u daarvoor vreest is het van groot belang dat u snel en goed handelt. Wilt u daar meer over weten? Dan vindt u hier een uitgebreid artikel over identiteitsfraude. Wij adviseren u om dit artikel goed te lezen.

Soms moet een organisatie melding doen van een datalek bij de Autoriteit Persoonsgegevens (AP)

Omdat een datalek vervelende gevolgen kan hebben, moeten organisaties datalekken altijd registreren in hun eigen datalekregister. Ernstige datalekken moeten daarna gemeld worden bij de Autoriteit Persoonsgegevens (AP). Een datalek is ernstig, indien de mogelijkheid bestaat dat het datalek fysieke, materiële of immateriële schade voor de betrokkenen met zich mee brengt.

De Autoriteit Persoonsgegevens (AP) houdt toezicht en controleert

Doet de organisatie bijvoorbeeld geen melding bij de Autoriteit Persoonsgegevens (AP) terwijl dit wel zou moeten, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal €10.000.000,- of 2% van de wereldwijde omzet. Doet de organisatie wel netjes melding, dan controleert de Autoriteit Persoonsgegevens (AP) of de organisatie de procedures goed opvolgt.

Soms moet een organisatie het datalek ook melden aan alle slachtoffers

Blijkt dat het datalek ook echt fysieke, materiële of immateriële schade voor de betrokkenen kan veroorzaken, dan spreken we van een datalek met een hoog risico. In dat geval is de organisatie verplicht om alle betrokkenen persoonlijk op de hoogte te stellen en het datalek aan hen te bevestigen. Of er sprake is van een datalek met een hoog risico moet per lek en per geval beoordeeld worden. Er wordt dan met name gekeken naar de combinatie van gegevens die bij het lek betrokken zijn. Denkt u bijvoorbeeld aan een datalek waarbij complete paspoortkopieën, creditcardgegevens, of uw BSN in combinatie met andere persoonsgegevens betrokken zijn. In zo’n geval spreken we van een datalek met een hoog risico. Meer informatie over het melden van datalekken aan slachtoffers vindt u hier.

U heeft een aantal privacy-rechten die u kunt gebruiken

Zijn uw persoonsgegevens gelekt, dan is daaraan – hoe vervelend ook – helaas niets meer te doen. Het lek kan immers niet meer worden teruggedraaid. Wel kunt u gebruik maken van uw privacy-rechten en bijvoorbeeld inzage krijgen in de persoonsgegevens die de desbetreffende organisatie van u heeft. Ook kunt u bijvoorbeeld vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen. Deze rechten heeft u overigens ook als er geen sprake is van een datalek. Meer informatie en voorbeeldbrieven kunt u hier vinden.

Schadevergoeding krijgen is erg moeilijk

Dat uw privacy (mogelijk) geschonden is, betekent lang niet altijd dat u aanspraak kunt maken op schadevergoeding. In de meeste gevallen kan dit namelijk niet. In het aansprakelijkheidsrecht geldt als wettelijke voorwaarde dat u moet kunnen aantonen dat u schade lijdt en dat er tussen uw schade en dat wat de tegenpartij fout heeft gedaan, oorzakelijk verband bestaat. Dit is bij datalekken meestal erg moeilijk. Wat is immers uw financiële schade? Dat u zich er – overigens zeer begrijpelijk – zorgen om maakt, is geen financiële schade en een risico op identiteitsfraude maakt nog niet dat u nú al schade lijdt. En als u schade lijdt, is het zeer moeilijk om te bewijzen dat dit (zo goed als zeker) komt door dat ene datalek waarvan u slachtoffer bent geworden en niet door iets anders.

Soms moet de organisatie u toch een kleine schadevergoeding geven

Heel soms is het mogelijk om een kleine immateriële schadevergoeding te claimen, omdat dat u de controle bent verloren over uw persoonsgegevens. Voordat u daarvoor in aanmerking kunt komen, moet uw zaak tenminste aan de volgende voorwaarden voldoen:

  1. U heeft een concrete bevestiging van de betrokkenheid van uw persoonsgegevens ontvangen van de organisatie waar het lek heeft plaatsgevonden (wanneer daarvan sprake is leest u hier);

  2. Er is sprake van een datalek met een hoog risico (wanneer daarvan sprake is leest u hier);

  3. U kunt aannemelijk maken dat u daar nadeel door ondervindt (u heeft bijvoorbeeld meteen uw zorgen geuit bij de organisatie en u kunt concreet onderbouwen op welke manier(en) u mogelijk bent benadeeld, waarbij het ook van belang is dat de kans groot is dat uw persoonsgegevens in verkeerde handen terecht zijn gekomen).