Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?
Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)
Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. Als je dus bij die [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt, dan is het dus genoeg om bij die partij een melding te doen (bij voorkeur bij de functionaris gegevensbescherming, als die er is) en dan moeten zij het zelf oppakken.
Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.
Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. Zij kunnen dat dan vergelijken met het datalek zoals dat een paar dagen later (hopelijk) wordt gemeld, of een onderzoek starten om zelf vast te stellen of er een datalek is geweest.
Natuurlijk kun je ook een journalist raadplegen. Een datalek bij een bedrijf of populaire internetdienst is al snel nieuwswaardig, en een journalist weet hoe je daar zorgvuldig bericht van doet (inclusief melden bij het bedrijf zelf). Bovendien kan een journalist je bronbescherming geven.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.