Het KRONCRV-programma Boer zoekt Vrouw is in opspraak geraakt vanwege een datalek. Honderden brieven en foto’s van zoekende boeren en vrouwen waren online zichtbaar voor wie maar geïnteresseerd was, terwijl deze niet voor online publicatie bestemd waren. Hoe kon dat gebeuren?
KRONCRV had de toegang tot de brieven en foto’s niet beveiligd met een wachtwoord. Via een zoekmachine als Google waren de onbeveiligde bestanden te vinden.
Wijzigingen meldplicht datalekken onder de AVG
De AP heeft beleidsregels opgesteld die organisaties kunnen helpen te bepalen of er sprake is van een datalek waarvoor een meldplicht geldt. Onder de Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 van toepassing is, blijft de meldplicht bestaan. De drempel om datalekken te melden aan de Autoriteit Persoonsgegevens is onder de AVG echter lager dan onder de Wet bescherming persoonsgegevens. Ook gold onder de Wet bescherming persoonsgegevens een verplichting om de betrokkenen te melden dat er sprake was van een datalek als het lek ‘waarschijnlijk ongunstige gevolgen’ had voor de betrokkene. In de praktijk betekent dit dat bijna ieder datalek dat aan de Autoriteit Persoonsgegevens moet worden gemeld, óók aan de betrokkene moet worden gemeld. Onder de AVG is deze norm veranderd, nu zal iedere organisatie een nieuwe afweging moeten maken of ook een melding aan de betrokkenen noodzakelijk is. Daarnaast stelt de AVG strengere eisen aan de interne registratie van datalekken en de boetes die de AP kan uitdelen. De AP heeft een speciaal Meldloket datalek, waar gebruikers terecht kunnen voor meldingen, aanpassingen of intrekkingen.
Normen meldplicht datalekken onder de AVG
Onder de AVG gelden kort gezegd de volgende normen. Bij een datalek moet een organisatie een melding doen bij de Autoriteit Persoonsgegevens, wanneer er sprake is van (1) vernietiging, verlies, wijziging, verstrekking of toegankelijk maken van persoonsgegevens, (2) op een wijze die onrechtmatig is, ontstaat er op grond van de AVG een meldplicht om datalekken te melden. De meldplicht vervalt wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De meldplicht geldt ook wanneer het datalek bij een derde partij, bijvoorbeeld een bewerker, is ontstaan.
Wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen , dan is de organisatie onder de AVG ook verplicht om het datalek te melden bij de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt).
Inmiddels is het datalekprotocol bij KRONCRV in werking gesteld en zijn de bestanden niet meer openbaar toegankelijk. De omroep heeft zijn excuses aangeboden aan alle betrokkenen. Organisaties doen er verstandig aan een dergelijk protocol op te stellen. Een melding dient onder de AVG binnen 72 uur te worden gedaan bij de Autoriteit Persoonsgegevens. Snel handelen is dan noodzakelijk en een protocol kan daarbij van essentieel belang zijn.
Wilt u meer weten over een dergelijk protocol datalekken? Neem dan gerust contact met ons op!
Team IT&Privacy
Iris Tuk
