Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Laatst heeft een bedrijf mijn gegevens gelekt en mij hierover geïnformeerd. Er werd echter niet vermeld of er ook melding bij de Autoriteit Persoonsgegevens was gedaan. Moet een bedrijf dit ook aan de gedupeerden van een datalek laten weten?
Antwoord: De AVG kent twee aparte regels voor het melden van datalekken. Allereerst is er de meldplicht bij de toezichthouder, in Nederland dus de Autoriteit Persoonsgegevens. Hier moet een datalek worden gemeld "tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt" (artikel 33 lid 1 AVG).
Wanneer een datalek "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden", moet je ook de betrokkenen informeren (artikel 34 lid 1 AVG). Formeel heet dit overigens een "mededelingsplicht", melden doe je immers bij autoriteiten en particulieren deel je iets mede.
In de mededeling moet je in duidelijke en eenvoudige taal (dat is taalniveau B2, zeg maar de folder bij de apotheek) aangeven wat er is gebeurd, welke gegevens zijn gelekt, welke gevolgen dit kan hebben en welke maatregelen zijn genomen om die gevolgen te beperken. De mededeling hoeft dan weer niet als je direct na het lek de boel hebt gedicht én kunt aantonen dat er nul consequenties zullen zijn. Denk aan alle gelekte wachtwoorden resetten én in je logs nagaan dat er geen inlogpogingen zijn geweest tussen het lek en de reset.
De AVG zegt niet expliciet dat je in de mededeling moet melden dat er een melding aan de AP is gedaan. Juridisch gezien is het echter ondenkbaar dat je wél de betrokkenen zou informeren maar geen melding aan de AP zou doen. Het criterium van "waarschijnlijk hoog risico" is immers strenger dan "tenzij risico niet waarschijnlijk". Uit het feit dat je een mededeling hebt gehad, mag je dus concluderen dat er een melding is gedaan.
Het lijkt mij een triviale toevoeging en ik zou het dus ook altijd in de brief zetten, al is het maar als deel van die maatregelen die je hebt genomen en/of geruststellende uitleg dat het goed gaat komen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security-engineer IAM
Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...
Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.