In dit artikel leest u wat een datalek is, wat er gebeurt nadat een datalek aan het licht komt en welke rol u daar zelf in kunt hebben, bijvoorbeeld door het gebruiken van uw privacy-rechten en het claimen van schadevergoeding.
U leest in een artikel of ziet op televisie dat er een datalek is ontdekt bij een organisatie waarmee u te maken heeft gehad. Dit kan een webwinkel zijn, maar ook een overheidsinstantie. Misschien heeft u zelfs al een brief of e-mail gehad waarin de organisatie u vertelt dat uw gegevens (mogelijk) bij het lek betrokken zijn. U maakt zich zorgen en vraag zich af: hoe zit dit en wat kan ik zelf doen?
Het begrip ‘datalek’ is dus een zeer ruim begrip. De Algemene Verordening Gegevensbescherming (AVG) verplicht alle organisaties die persoonsgegevens verwerken om voldoende technische en organisatorische voorzorgsmaatregelen te nemen om die persoonsgegevens te beschermen. Soms gaat het mis. We spreken dan van een datalek indien er onbedoeld persoonsgegevens zijn vrijgegeven, of iemand daar onbedoeld toegang tot heeft gehad. Ook de onbedoelde vernietiging, wijziging, of het onbedoelde verlies van persoonsgegevens levert een datalek op.
Ook het begrip 'persoonsgegeven' is een zeer breed begrip. Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn alle gegevens die ofwel direct over iemand gaan, ofwel naar een persoon te herleiden zijn, persoonsgegevens. Maar niet alle persoonsgegevens zijn gelijk. Er wordt onderscheid gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens. Normale persoonsgegevens zijn gegevens die vaak al openbaar zijn en nodig zijn om u te identificeren, zoals uw naam, adres en woonplaats. Bijzondere persoonsgegevens zijn gevoelige gegevens die zien op uw persoonlijke levenssfeer, zoals uw ras, godsdienst of gezondheid. Deze laatste categorie gegevens hebben extra wettelijke bescherming.
Persoonsgegevens worden gebruikt om u te identificeren en kunnen voor dat doel dus ook misbruikt worden. Lang niet altijd eist een organisatie dat u zich in persoon legitimeert met een identiteitsbewijs, zeker niet nu alles steeds meer op afstand gebeurt. Daarmee bestaat dus het risico op identiteitsfraude. Als u daarvoor vreest is het van groot belang dat u snel en goed handelt. Wilt u daar meer over weten? Dan vindt u hier een uitgebreid artikel over identiteitsfraude. Wij adviseren u om dit artikel goed te lezen.
Omdat een datalek vervelende gevolgen kan hebben, moeten organisaties datalekken altijd registreren in hun eigen datalekregister. Ernstige datalekken moeten daarna gemeld worden bij de Autoriteit Persoonsgegevens (AP). Een datalek is ernstig, indien de mogelijkheid bestaat dat het datalek fysieke, materiële of immateriële schade voor de betrokkenen met zich mee brengt.
Doet de organisatie bijvoorbeeld geen melding bij de Autoriteit Persoonsgegevens (AP) terwijl dit wel zou moeten, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal €10.000.000,- of 2% van de wereldwijde omzet. Doet de organisatie wel netjes melding, dan controleert de Autoriteit Persoonsgegevens (AP) of de organisatie de procedures goed opvolgt.
Blijkt dat het datalek ook echt fysieke, materiële of immateriële schade voor de betrokkenen kan veroorzaken, dan spreken we van een datalek met een hoog risico. In dat geval is de organisatie verplicht om alle betrokkenen persoonlijk op de hoogte te stellen en het datalek aan hen te bevestigen. Of er sprake is van een datalek met een hoog risico moet per lek en per geval beoordeeld worden. Er wordt dan met name gekeken naar de combinatie van gegevens die bij het lek betrokken zijn. Denkt u bijvoorbeeld aan een datalek waarbij complete paspoortkopieën, creditcardgegevens, of uw BSN in combinatie met andere persoonsgegevens betrokken zijn. In zo’n geval spreken we van een datalek met een hoog risico. Meer informatie over het melden van datalekken aan slachtoffers vindt u hier.
Zijn uw persoonsgegevens gelekt, dan is daaraan – hoe vervelend ook – helaas niets meer te doen. Het lek kan immers niet meer worden teruggedraaid. Wel kunt u gebruik maken van uw privacy-rechten en bijvoorbeeld inzage krijgen in de persoonsgegevens die de desbetreffende organisatie van u heeft. Ook kunt u bijvoorbeeld vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen. Deze rechten heeft u overigens ook als er geen sprake is van een datalek. Meer informatie en voorbeeldbrieven kunt u hier vinden.
Dat uw privacy (mogelijk) geschonden is, betekent lang niet altijd dat u aanspraak kunt maken op schadevergoeding. In de meeste gevallen kan dit namelijk niet. In het aansprakelijkheidsrecht geldt als wettelijke voorwaarde dat u moet kunnen aantonen dat u schade lijdt en dat er tussen uw schade en dat wat de tegenpartij fout heeft gedaan, oorzakelijk verband bestaat. Dit is bij datalekken meestal erg moeilijk. Wat is immers uw financiële schade? Dat u zich er – overigens zeer begrijpelijk – zorgen om maakt, is geen financiële schade en een risico op identiteitsfraude maakt nog niet dat u nú al schade lijdt. En als u schade lijdt, is het zeer moeilijk om te bewijzen dat dit (zo goed als zeker) komt door dat ene datalek waarvan u slachtoffer bent geworden en niet door iets anders.
Heel soms is het mogelijk om een kleine immateriële schadevergoeding te claimen, omdat dat u de controle bent verloren over uw persoonsgegevens. Voordat u daarvoor in aanmerking kunt komen, moet uw zaak tenminste aan de volgende voorwaarden voldoen:
U heeft een concrete bevestiging van de betrokkenheid van uw persoonsgegevens ontvangen van de organisatie waar het lek heeft plaatsgevonden (wanneer daarvan sprake is leest u hier);
Er is sprake van een datalek met een hoog risico (wanneer daarvan sprake is leest u hier);
U kunt aannemelijk maken dat u daar nadeel door ondervindt (u heeft bijvoorbeeld meteen uw zorgen geuit bij de organisatie en u kunt concreet onderbouwen op welke manier(en) u mogelijk bent benadeeld, waarbij het ook van belang is dat de kans groot is dat uw persoonsgegevens in verkeerde handen terecht zijn gekomen).