Wanneer heb ik een datalek?

Bij een orthodontist in Drachten kon je live een kijkje nemen in de behandelkamers doordat de anti-diefstalcamera’s niet goed waren beveiligd. Volgens de systeembeheerder van de orthodontiepraktijk is er niet veel aan de hand: maar weinig mensen hebben de beelden gezien en er zijn geen klachten ontvangen. Maar klopt dat eigenlijk wel? Mijn ‘datalek-detector’ gaat direct af als ik zo’n verhaal lees. Zijn er persoonsgegevens gelekt? En is er in zo’n geval niet een meldplicht bij de Autoriteit Persoonsgegevens?

Wanneer heb ik een datalek?

Er is sprake van een datalek als er een beveiligingsincident heeft plaatsgevonden waarbij persoonsgegevens verloren zijn gegaan ofwel onrechtmatige verwerking van die persoonsgegevens niet is uit te sluiten.

In het geval van de orthodontist was er niet alleen sprake van een dreiging, maar hebben onbevoegden (journalisten in dit geval) daadwerkelijk toegang tot de gegevens gekregen. Onrechtmatige verwerking is dan ook niet uit te sluiten. Maar is er ook sprake van een persoonsgegeven? De journalisten hebben immers alleen met de camerabeelden mee kunnen kijken. En zonder persoonsgegeven geen datalek.

Persoonsgegevens

De AVG geeft in artikel 4.1 met een lastige definitie aan wat wordt bedoeld met persoonsgegevens. Het komt er op kort samengevat op neer dat een persoonsgegeven een gegeven is aan de hand waarvan een persoon kan worden geïdentificeerd.  Een persoon kan worden geïdentificeerd als degene die het persoonsgegeven gebruikt de persoon kan identificeren zonder een bijzondere inspanning te leveren. Hierbij speelt de context een rol. Zo kan een persoon ook worden geïdentificeerd aan de hand van algemene informatie zoals een postcode als dit wordt gecombineerd met andere informatie. Van een persoonsgegeven is dan ook al snel sprake.

En hoe zit het met beeldmateriaal, zoals in de kwestie van de orthodontist? Zodra mensen herkenbaar in beeld komen, is beeldmateriaal volgens de hiervoor besproken definitie een persoonsgegeven.

Blijft over de vraag of onrechtmatige verwerking van die persoonsgegevens redelijkerwijs is uit te sluiten. In dat geval is er geen datalek en kan melding achterwege blijven.

Onrechtmatige verwerking redelijkerwijs niet uit te sluiten

Dit is slechts het geval als je nagenoeg zeker weet dat een derde geen onbevoegde toegang heeft gehad tot de persoonsgegevens, bijvoorbeeld omdat ze goed versleuteld waren. Bij de beoordeling van deze vraag moet je je wel te realiseren dat iemand die een beetje handig is de versleuteling misschien eenvoudig kan kraken en zo alsnog bij de gegevens kan komen.

Een ander voorbeeld van een gebeurtenis die niet onder meldplicht valt is de situatie waarbij een brief met daarin persoonsgegevens naar een foutief adres wordt gestuurd maar ongeopend retour wordt gezonden. Je begrijpt al wel dat onrechtmatige verwerking niet snel redelijkerwijs is uit te sluiten.

Datalek?

Terug naar het voorbeeld. Journalisten hebben toegang gehad tot camerabeelden. Op deze beelden waren personen herkenbaar in beeld. De beelden waren niet versleuteld. Zodoende is er sprake van een beveiligingsincident waarbij onrechtmatige verwerking redelijkerwijs niet is uit te sluiten. We kunnen dus vaststellen dat er sprake is van een datalek. Maar wat nu? Moet de orthodontist ook melden?

Melden of niet

Of een datalek wel of niet gemeld moet worden hangt af van de waarschijnlijkheid en de mogelijke ernst van het datalek voor de betrokken personen. Er moet worden gemeld als de persoonsgegevens van gevoelige aard zijn of de aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

Bij persoonsgegevens van gevoelige aard moet je denken aan bijzondere persoonsgegevens (gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke gegevens), gegevens over de financiële of economische situatie van de betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting (denk aan gegevens over prestaties op school of op het werk), gebruikersnamen, wachtwoorden en andere inloggegevens en gegevens die kunnen worden gebruikt voor (identiteits)fraude. Denk in dit laatste geval aan biometrische gegevens, kopieën van identiteitsbewijzen en het burgerservicenummer.

Ook moet je melden als de aard en omvang van de inbreuk zodanig zijn dat dit kan leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevns. Dit zal bijvoorbeeld het geval zijn als er in één keer heel veel persoonsgegevens zijn gelekt (zoals een volledig klantenbestand).

Doet een van deze gevallen zich voor dan moet je hiervan melding maken bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking.

Als het datalek een hoog risico oplevert is het daarnaast ook verplicht melding te doen aan de betrokkenen. Dit is bijvoorbeeld het geval als het gebruik van de gegevens door onbevoegden financiële consequenties zal hebben of kan leiden tot (identiteits)fraude. Je moet de betrokkene dan informeren over het datalek. Ook moet je de betrokkene informeren over de mogelijke risico’s en wat zij daartegen kunnen doen. Het advies kan zijn ze hun rekening moeten blokkeren of een gebruikersnaam/wachtwoord moeten wijzigen..

Terug naar de orthodontist

In het geval van de orthodontist ben ik het met de systeembeheerder eens dat het in dit geval wel meevalt. Er lijkt geen sprake te zijn van persoonsgegevens van gevoelige aard. Ook zullen de beelden niet direct leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Uiteraard is dit wel afhankelijk van wat er op de camerabeelden te zien is geweest maar je zult het met me eens zijn als ik zeg dat een normaal bezoek aan de orthodontist niet direct tot stigmatisering of uitsluiting zal leiden. Een melding kan in zo’n geval achterwege blijven. Natuurlijk moet de orthodontist het datalek wel verhelpen. Zo zal externe toegang door onbevoegden onmogelijk moeten worden gemaakt. Ook moet het datalek worden opgenomen in een datalekregister. Dit laatste is ook verplicht wanneer je het datalek niet meldt aan de Autoriteit Persoonsgegevens!

En bij twijfel? 

Of je wel of niet melding doet aan de Autoriteit Persoonsgegevens is een afweging die je zelf moet maken. Dit is niet altijd makkelijk. Bij twijfel (of in geval van tijdnood) kun je er voor kiezen in ieder geval een pro forma-melding te doen. Als uit nader onderzoek blijkt dat er toch niet gemeld hoeft te worden, dan kan de melding worden ingetrokken. En mocht je hulp nodig hebben: wij staan je graag bij met raad en daad.