Wanneer moet je een datalek ook melden aan de betrokkenen zelf?

Stel je voor: je ontdekt een gat in je beveiliging. Misschien is er een bestand met klantgegevens per ongeluk online gekomen, of heeft een medewerker per abuis een e-mail naar de verkeerde persoon gestuurd.

Je hartslag gaat omhoog. Je eerste gedachte? "Moet ik dit melden bij de Autoriteit Persoonsgegevens (AP)?" Maar er is een veel crucialere vraag die je jezelf moet stellen: "Moet ik dit ook vertellen aan de mensen van wie de gegevens nu op straat liggen?" Veel organisaties schieten in de modus van 'damage control' en denken vooral aan de boete die op de loer ligt. Maar de kern van de privacywetgeving, de AVG, draait om iets anders: de veiligheid en de rechten van de betrokkenen. In dit artikel duiken we in de harde kern van wanneer je een datalek niet alleen bij de toezichthouder, maar rechtstreeks bij de slachtoffers zelf moet melden.

De gouden regel: risico bepalen is key

De AVG is helder over de meldplicht, maar geeft je geen simpel ja/nee-stempel. De regel is simpel: moet je melden bij de AP?

Ja, tenzij het datalek waarschijnlijk geen risico oplevert voor de rechten en vrijheden van betrokkenen. Maar hier begint het vaak pas echt. Want wat is dat 'risico' precies?

De AP en de betrokkenen: twee aparte verplichtingen

Het gaat niet alleen om financiële schade. Denk aan identity theft, schade aan je reputatie, of psychische schade.

1. Melden bij de AP: Dit is de formele procedure. Binnen 72 uur na ontdekking van het lek moet deze gemeld zijn, tenzij er geen risico is.
2. Informeren van betrokkenen: Dit is de persoonlijke benadering. Als het datalek een hoog risico oplevert voor de betrokkenen, moet je hen direct informeren.

Als je een lek hebt waarbij alleen openbare bedrijfsinformatie is gelekt, is de noodzaak om te melden klein. Maar zodra er persoonsgegevens in het geding zijn – namen, adressen, burgerservicenummers (BSN), medische gegevens of financiële data – verandert het verhaal drastisch. Het is een veelgemaakte denkfout dat een melding aan de Autoriteit Persoonsgegevens automatisch voldoende is. De wet maakt onderscheid tussen twee verplichtingen:

Deze tweede verplichting is vaak het lastigst, omdat je zelf moet inschatten hoe groot de schade kan zijn. De AP geeft hier richtlijnen voor, maar de uiteindelijke verantwoordelijkheid ligt bij jou als verwerkingsverantwoordelijke.

Wanneer is het risico hoog genoeg om te melden?

Je hoeft niet elk klein lek te melden aan elke betrokkene. Maar wanneer schaal je op? De kernvraag is: is de impact op het leven van de betrokkene groot?

Stel je voor dat er een datalek door een verkeerd verstuurde e-mail is ontstaan. Op zichzelf is dat vervelend, maar het risico op spam is aanwezig, maar beperkt.

Voorbeelden van hoge-risico datalekken

Maar als diezelfde lijst ook huisadressen, geboortedata en betaalgegevens bevat, is het risico aanzienlijk hoger. De kans op identiteitsfraude of oplichting neemt toe.

• Gebruikersnamen en wachtwoorden: Als deze in plaintext worden gelekt, kunnen criminelen direct inloggen op accounts.
• Burgerservicenummers (BSN): Dit nummer is uniek en onmisbaar voor identiteitsfraude.
• Gezondheidsgegevens: Medische informatie is extreem gevoelig en kan leiden tot discriminatie of chantage.
• Financiële gegevens: Bankrekeningnummers en creditcardgegevens zijn direct te misbruiken.

De AP benadrukt dat bepaalde soorten gegevens bijna altijd een hoog risico met zich meebrengen als ze worden gelekt. Denk aan: Als een van deze categorieën is getroffen, is de kans groot dat je niet alleen de AP, maar ook de betrokkenen moet informeren.

Hoe meld je een datalek aan betrokkenen?

Als je hebt besloten dat het risico hoog genoeg is, moet je actie ondernemen. De melding aan de betrokkenen moet duidelijk, begrijpelijk en tijdig zijn.

Gebruik geen wollig juridisch jargon, maar vertel gewoon wat er is gebeurd. Een goede melding bevat: Denk aan de berichten die je zelf ontvangt na een datalek bij een grote partij zoals bol.com of een bank.

1. Wat er is gebeurd: Een beschrijving van het datalek. Welke gegevens zijn gelekt?
2. De mogelijke gevolgen: Wat kan er misgaan voor de betrokkene? Bijvoorbeeld: "Er bestaat een risico op identiteitsfraude."
3. Wat je zelf doet: Welke maatregelen neemt jouw organisatie om de schade te beperken?
4. Wat de betrokkene kan doen: Advies om wachtwoorden te wijzigen, waakzaam te zijn op phishing of aangifte te doen.

Die berichten zijn helder, direct en bieden concrete stappen. Dat is de standaard die je moet nastreven.

De uitzondering: waarom je soms niet hoeft te melden

Er is een belangrijke uitzondering op de verplichting om betrokkenen te informeren. Als je voorafgaand aan het lek al passende technische en organisatorische maatregelen hebt genomen die het lek onwaarschijnlijk maken, hoef je misschien niet te melden. Een voorbeeld: als de gegevens versleuteld waren (geëncrypteerd) en de versleutelingscode niet is gelekt, is het risico voor de betrokkene minimaal. Of als de gegevens alleen toegankelijk waren voor een zeer beperkte groep mensen en het lek snel is gedicht, al moet je altijd goed kijken naar de wettelijke termijn voor het melden van een datalek.

Maar pas op: deze uitzondering is smal. De AP controleert streng of de maatregelen daadwerkelijk effectief waren. Een simpele 'ja' is niet genoeg; je moet het kunnen onderbouwen.

Praktische stappen bij een datalek

Stel, je ontdekt een lek. Wat nu? De AP is niet de vijand, maar een toezichthouder die je helpt om de privacy te waarborgen.

1. Blokkeer het lek direct: Zorg dat de toegang tot de gegevens wordt gestopt.
2. Documenteer alles: Noteer wat er is gebeurd, wanneer, en welke gegevens zijn betrokken. Dit is cruciaal voor de melding aan de AP.
3. Beoordeel het risico: Is het risico hoog of laag? Raadpleeg desnoods een privacyexpert.
4. Meld bij de AP: Doe dit binnen 72 uur.
5. Informeer betrokkenen: Als het risico hoog is, doe dit dan zo snel mogelijk, liefst samen met de melding aan de AP.

De rol van de Autoriteit Persoonsgegevens

Als je een melding doet, kijkt de AP of je voldoende hebt gedaan. Een goede, tijdige melding kan helpen om boetes te verminderen of te voorkomen. Een slechte of te late melding kan juist leiden tot extra sancties.

Conclusie: wees transparant en snel

De vraag 'moet ik dit melden aan de betrokkenen?' is niet alleen een juridische kwestie, maar ook een kwestie van vertrouwen.

Organisaties die snel en transparant communiceren, behouden het vertrouwen van hun klanten. Organisaties die het proberen te verdoezelen, verliezen dat vertrouwen vaak voorgoed.

Onthoud: de AVG is er om mensen te beschermen, niet om bedrijven te pesten. Als je een datalek ontdekt, meld dit dan correct bij de Autoriteit Persoonsgegevens; denk daarbij niet alleen aan de AP, maar vooral aan de mensen achter de gegevens. Wees helder, wees eerlijk en wees snel. Dat is niet alleen goed voor de betrokkenen, maar uiteindelijk ook voor je eigen reputatie.