Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

Moet er in een datalekmededeling expliciet worden vermeld dat de toezichthouder is ingelicht?

woensdag 11 maart 2020, 10:35 door Arnoud Engelfriet, 10 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Laatst heeft een bedrijf mijn gegevens gelekt en mij hierover geïnformeerd. Er werd echter niet vermeld of er ook melding bij de Autoriteit Persoonsgegevens was gedaan. Moet een bedrijf dit ook aan de gedupeerden van een datalek laten weten?

Antwoord: De AVG kent twee aparte regels voor het melden van datalekken. Allereerst is er de meldplicht bij de toezichthouder, in Nederland dus de Autoriteit Persoonsgegevens. Hier moet een datalek worden gemeld "tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt" (artikel 33 lid 1 AVG).

Wanneer een datalek "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden", moet je ook de betrokkenen informeren (artikel 34 lid 1 AVG). Formeel heet dit overigens een "mededelingsplicht", melden doe je immers bij autoriteiten en particulieren deel je iets mede.

In de mededeling moet je in duidelijke en eenvoudige taal (dat is taalniveau B2, zeg maar de folder bij de apotheek) aangeven wat er is gebeurd, welke gegevens zijn gelekt, welke gevolgen dit kan hebben en welke maatregelen zijn genomen om die gevolgen te beperken. De mededeling hoeft dan weer niet als je direct na het lek de boel hebt gedicht én kunt aantonen dat er nul consequenties zullen zijn. Denk aan alle gelekte wachtwoorden resetten én in je logs nagaan dat er geen inlogpogingen zijn geweest tussen het lek en de reset.

De AVG zegt niet expliciet dat je in de mededeling moet melden dat er een melding aan de AP is gedaan. Juridisch gezien is het echter ondenkbaar dat je wél de betrokkenen zou informeren maar geen melding aan de AP zou doen. Het criterium van "waarschijnlijk hoog risico" is immers strenger dan "tenzij risico niet waarschijnlijk". Uit het feit dat je een mededeling hebt gehad, mag je dus concluderen dat er een melding is gedaan.

Het lijkt mij een triviale toevoeging en ik zou het dus ook altijd in de brief zetten, al is het maar als deel van die maatregelen die je hebt genomen en/of geruststellende uitleg dat het goed gaat komen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Is er voor e-mailadressen een regeling die vergelijkbaar is met nummerportabiliteit?
Heb ik recht op een kopie van mijn zakelijke mailbox op basis van een inzageverzoek?
Reacties (10)
Reageer met quote
11-03-2020, 11:46 door Anoniem
Hoe kan ik controleren of de instantie daadwerkelijk een melding gedaan heeft bij de AP?
Reageer met quote
11-03-2020, 12:41 door Anoniem
In het algemeen zal je verzekeraar niet blij zijn als je in geval van een datalek al boj voorbaat ruimhartig aansprakelijkheid gaat erkennen of suggereren.

Er kan immers van alles aan de hand zijn. Een zorro-day lek. Wat iedereen had kunnen overkomen. Een derde partij, zoals een klauwt-hoster. Of een balpentester. Die slordig zijn geweest. Maar een indiener van een claim zou ook verweten kunnen worden dat die zelf willens en wetens veel te veel onnodige privedata bij je neer heeft geplempt

Het blijft natuurlijk raadzaam om je aan de wet te houden. Maar de wet is geen binair systeem. Er zit altijd speling in en interpretatie. Het is daarom handig om niet te snel meer te doen dan de wet verlangt. Want uiteindelijk, als dat toch niet helemaal goed hebt gedaan, kan het misschien een piepkleine boete van de AP zijn, maar wel een grote schadeclaim. Waarbij je zelf al vrolijk schriftelijk hebt bevestigd dat je volledig aansprakelijk bent. En de indiener van de claim dat lucratieve buitenkansje niet wil laten lopen. Terwijl het misschien dezelfde is die op verjaardagen roept "ze weten toch alles al van me maar ik heb niks te verbergen". Maar dan tegen jou natuurlijk even niet!
Reageer met quote
11-03-2020, 13:13 door Anoniem
@anoniem 12:41

Ik snap niet hoe je wel aansprakelijkheid aanvaard door te vermelden dat je een melding hebt gedaan bij de AP (en niet als je dit niet doet). Het feit dat je de brief stuurt dat er gegevens in jouw beheer zijn gelekt, betekent al dat er sprake is van aansprakelijkheid (als dataverantwoordelijk).
Reageer met quote
11-03-2020, 15:04 door Anoniem
Door Anoniem: @anoniem 12:41

Ik snap niet hoe je wel aansprakelijkheid aanvaard door te vermelden dat je een melding hebt gedaan bij de AP (en niet als je dit niet doet). Het feit dat je de brief stuurt dat er gegevens in jouw beheer zijn gelekt, betekent al dat er sprake is van aansprakelijkheid (als dataverantwoordelijk).

Q.E.D.
Reageer met quote
12-03-2020, 07:38 door SecOff
Door Anoniem: Hoe kan ik controleren of de instantie daadwerkelijk een melding gedaan heeft bij de AP?
Dat kun je niet, meldingen aan de AP zijn vertrouwelijk.
Reageer met quote
12-03-2020, 09:02 door Anoniem
Ik zet het meldingsnummer van het AP ook in het datalekregister bij de vermelding van het datalek.
Mocht je het datalek moeten melden aan de betrokkene(n) geef ze dan ook gerust het meldingsnummer van het AP.
Wees gewoon transparant.
Reageer met quote
12-03-2020, 13:21 door Arnoud Engelfriet
Door Anoniem: @anoniem 12:41

Ik Het feit dat je de brief stuurt dat er gegevens in jouw beheer zijn gelekt, betekent al dat er sprake is van aansprakelijkheid (als dataverantwoordelijk).
Dat is onjuist. Een datalek hebben is niet beboetbaar. Slechte beveiliging wel, en het niet melden van een lek ook. Overkwam het lek je ondanks adequate beveiliging dan meld je het en ben je niet aansprakelijk.
Reageer met quote
12-03-2020, 15:12 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: @anoniem 12:41

Ik Het feit dat je de brief stuurt dat er gegevens in jouw beheer zijn gelekt, betekent al dat er sprake is van aansprakelijkheid (als dataverantwoordelijk).
Dat is onjuist. Een datalek hebben is niet beboetbaar. Slechte beveiliging wel, en het niet melden van een lek ook. Overkwam het lek je ondanks adequate beveiliging dan meld je het en ben je niet aansprakelijk.
Ook niet helemaal waar. Je bent tegenover de slachtoffers nog altijd aansprakelijk, alleen een rechter zal waarschijnlijk bij de inschatting van de aansprakelijkheid stellen, dat de aansprakelijkheid, gelet de maatregelen, maar zeer beperkt is. Voor Schade die voortvloeit uit je handelen ben je altijd aansprakelijk, tenzij de wet dit anders bepaalt en de hoogte is wettelijk bepaald, wordt door de schadeverzekeraar bepaald, of door de rechter.
Reageer met quote
13-03-2020, 14:57 door Anoniem
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem: @anoniem 12:41

Ik Het feit dat je de brief stuurt dat er gegevens in jouw beheer zijn gelekt, betekent al dat er sprake is van aansprakelijkheid (als dataverantwoordelijk).
Dat is onjuist. Een datalek hebben is niet beboetbaar. Slechte beveiliging wel, en het niet melden van een lek ook. Overkwam het lek je ondanks adequate beveiliging dan meld je het en ben je niet aansprakelijk.
Ook niet helemaal waar. Je bent tegenover de slachtoffers nog altijd aansprakelijk, alleen een rechter zal waarschijnlijk bij de inschatting van de aansprakelijkheid stellen, dat de aansprakelijkheid, gelet de maatregelen, maar zeer beperkt is. Voor Schade die voortvloeit uit je handelen ben je altijd aansprakelijk, tenzij de wet dit anders bepaalt en de hoogte is wettelijk bepaald, wordt door de schadeverzekeraar bepaald, of door de rechter.

Wanneer een hacker persoonsgegevens van klanten van een bank buitmaakt en deze op straat gooit, is dat de bank of de hacker aansprakelijk? Oftewel, kan een betrokkene dan wel de bank aansprakelijk stellen? Het is ten slotte de hacker die inbreuk doet en schade veroorzaakt.
Reageer met quote
13-03-2020, 17:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem: @anoniem 12:41

Ik Het feit dat je de brief stuurt dat er gegevens in jouw beheer zijn gelekt, betekent al dat er sprake is van aansprakelijkheid (als dataverantwoordelijk).
Dat is onjuist. Een datalek hebben is niet beboetbaar. Slechte beveiliging wel, en het niet melden van een lek ook. Overkwam het lek je ondanks adequate beveiliging dan meld je het en ben je niet aansprakelijk.
Ook niet helemaal waar. Je bent tegenover de slachtoffers nog altijd aansprakelijk, alleen een rechter zal waarschijnlijk bij de inschatting van de aansprakelijkheid stellen, dat de aansprakelijkheid, gelet de maatregelen, maar zeer beperkt is. Voor Schade die voortvloeit uit je handelen ben je altijd aansprakelijk, tenzij de wet dit anders bepaalt en de hoogte is wettelijk bepaald, wordt door de schadeverzekeraar bepaald, of door de rechter.

Wanneer een hacker persoonsgegevens van klanten van een bank buitmaakt en deze op straat gooit, is dat de bank of de hacker aansprakelijk? Oftewel, kan een betrokkene dan wel de bank aansprakelijk stellen? Het is ten slotte de hacker die inbreuk doet en schade veroorzaakt.

In het geval van aansprakelijkheid zal eerst een causaal verband tussen de hack en de schade bewezen moeten worden. Door de gene die de claim legt. Er zal daarbij ook bewezen moeten worden dat de gehackte data niet anders dan van die bank afkomstig zijn geweest.

Daarna is het van belang dat aangetoond wordt dat de bank zijn gegevens "adequaat" heeft beschermd of bewezen nalatig is geweest. Dit alles is natuurlijk voor interpretatie vatbaar. Maar heeft enkel de rechtbank daar het laatste woord in.

In geval de bank jegens zijn klant aansprakelijkheid erkent, of door de rechter aansprakelijk wordt gesteld, dan moet de bank schade vergoeden. De bank kan dan later trachten de schade op de hacker te verhalen. De klant van de bank heeft in die zin niets met de hacker te maken. Mocht de hacker de data verkocht hebben, en computervredebreuk gepleegd hebben, dan kan het OM een strafrechtelijke vervolging instellen tegen de hacker (steler) en de koper (heler).

In het geval van gestolen prive data van mobieltjes wordt zowel door de mobieltjesboeren (steler) als door de grote firma's en overheden die die data massaal kopen (helers) getracht om dat met overeenkomsten, c.q. user conditions, af te dekken. Formeel is het echter onmogelijk om strafbare feiten per overeenkomst niet strafbaar te maken. Die blijven net zo strafbaar, al heb je honderd keer op OK geklikt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 292
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter