icon

Richtsnoeren CBP: wat is een datalek?

In onze bijdrage van afgelopen maandag gaven wij een beknopt overzicht van de richtsnoeren van het CBP voor het (al dan niet) melden van datalekken. Vandaag de eerste toelichting op de inhoud van de richtsnoeren: wat is eigenlijk precies een datalek?

Veel mensen denken bij dit begrip direct aan het “op straat komen liggen van data” als gevolg van de activiteiten van hackers. En terecht: als de betreffende data (mede) persoonsgegevens bevatten is zoiets zeker een datalek. Maar het begrip is aanzienlijk ruimer. Zo is er ook een datalek als één van uw medewerkers een USB-stickje met de onversleutelde loonadministratie in de trein laat liggen. Of als het datacentrum waar uw cloudserver staat afbrandt en u hebt geen backup. Ja, er is zelfs al een datalek (zo zeggen althans de richtsnoeren letterlijk) bij het verzenden van een e-mail waarbij de mailadressen van alle geadresseerden voor alle andere geadresseerden zichtbaar zijn. Dat laatste voorbeeld is ons overigens iets te ongeclausuleerd opgenomen; natuurlijk zijn hier alleen (bulk-)adresseringen bedoeld, waar de geadresseerden elkaar(s emailadres) nog niet kenden.

Zoals in de vorige aflevering al gemeld, is een datalek volgens de (vernieuwde) Wbp “een inbreuk op de beveiliging als bedoeld in artikel 13”, dat wil zeggen: op de beveiliging die de persoonsgegevens moet beschermen tegen verlies of onrechtmatige verwerking. Volgens de richtsnoeren moet de verantwoordelijke zich in probleemsituaties dan ook allereerst afvragen: “zijn er persoonsgegevens blootgesteld aan verlies of aan onrechtmatige verwerking?” Zo nee: dan is er niets aan de hand. Zo ja: dan moet de tweede vraag zijn: “Kan ik redelijkerwijs uitsluiten dat er (daadwerkelijk) persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt?” Zo ja: alsnog niets aan de hand. Zo nee: dan is er dus sprake van een datalek.

We sluiten weer even aan bij het voorbeeld van de USB-stick met de loonadministratie in de trein. Hier moet de eerste vraag met ja worden beantwoord: er zijn persoonsgegevens blootgesteld aan verlies of aan onrechtmatige verwerking. Maar als het ging om een kopie van de administratie van de harde schijf van de HR-medewerker en als de USB stick bovendien goed is versleuteld, kan ook de tweede vraag met ja worden beantwoord. Er is dan immers niets verloren gegaan (er is een back-up) en er kan ook geen onrechtmatige verwerking plaatsvinden (door de goede versleuteling kan niemand erbij). Kortom: er kan redelijkerwijs worden uitgesloten dat er verlies of onrechtmatige verwerking heeft plaatsgevonden.

Dat laatste geldt bijvoorbeeld ook als is komen vast te staan dat een medewerker een wachtwoord heeft gelekt, maar dat wachtwoord vervolgens snel is gewijzigd, terwijl uit logbestanden kan worden vastgesteld dat er intussen geen ongeoorloofde toegang is geweest tot het systeem. Ook dan: geen datalek.

Pas als op grond van de beantwoording van de twee vragen moet worden vastgesteld dat er sprake is van een datalek komt mogelijk de verplichting tot melding bij het CBP aan de orde. En in sommige gevallen moet dan bovendien aan de betrokkenen (degenen wier persoonsgegevens het betreft) worden gemeld. Daarover gaan de volgende bijdragen in deze serie.

Overzicht van de andere afleveringen van deze serie

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Richtsnoeren CBP: wat is een datalek?

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief