In dit artikel leest u wat een datalek is. Wat er gebeurt als een datalek aan het licht komt en uw eigen rol daarin. Bijvoorbeeld door uw privacyrechten te gebruiken en het claimen van een schadevergoeding.
U hoort dat er een datalek is ontdekt bij een organisatie waar u onlangs mee te maken had. Bijvoorbeeld een webwinkel, of een overheidsinstantie. Misschien heeft de organisatie u al verteld dat uw gegevens mogelijk bij het lek betrokken zijn. U maakt zich zorgen en vraag zich af: hoe zit dit en wat kan ik zelf doen?
Het begrip ‘datalek’ is dus een zeer ruim begrip. Alle organisaties die persoonsgegevens verwerken, moeten genoeg technische en organisatorische voorzorgsmaatregelen nemen om die gegevens te beschermen. Dit is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Soms gaat het mis. We spreken van een datalek als er onbedoeld persoonsgegevens zijn vrijgegeven, of iemand daar onbedoeld toegang tot heeft gehad. Ook onbedoelde vernietiging, wijziging, of verlies van persoonsgegevens levert een datalek op.
Het begrip 'persoonsgegeven' is een zeer breed begrip. Volgens de AVG zijn persoonsgegevens alle gegevens die direct over iemand gaan of naar een persoon te herleiden zijn. Maar niet alle persoonsgegevens zijn gelijk. Er wordt onderscheid gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens.
Persoonsgegevens worden gebruikt om u te identificeren en kunnen voor dat doel dus ook misbruikt worden. Lang niet altijd eist een organisatie dat u zich in persoon legitimeert met een identiteitsbewijs. Zeker niet nu alles steeds meer op afstand gebeurt. Daarmee bestaat dus het risico op identiteitsfraude. Als u daarvoor vreest is het van groot belang dat u snel en goed handelt. Wilt u daar meer over weten? Lees dan ons artikel over identiteitsfraude.
Een datalek kan vervelende gevolgen hebben. Daarom moeten organisaties datalekken altijd registreren in hun eigen datalekregister. Ernstige datalekken moeten zij daarna melden bij de Autoriteit Persoonsgegevens (AP). Een datalek is ernstig als het mogelijk fysieke, materiële of immateriële schade voor de betrokkenen met zich mee brengt.
Doet de organisatie bijvoorbeeld geen melding, terwijl dit wel zou moeten? Dan kan de AP een boete opleggen van maximaal €10.000.000,- of 2% van de wereldwijde omzet. Doet de organisatie wel een melding, dan controleert de AP of de procedures goed zijn gevolgd.
Een datalek heeft een hoog risico als deze fysieke, materiële of immateriële schade voor de betrokkenen kan veroorzaken. In dat geval moet organisatie alle betrokkenen persoonlijk te informeren over het datalek. Of er sprake is van een hoog risico wordt per geval beoordeeld. Er wordt dan met name gekeken naar de combinatie van gegevens die bij het lek betrokken zijn. Denk bijvoorbeeld aan een situatie waarbij complete paspoortkopieën, creditcardgegevens of burgerservicenummers in combinatie met andere persoonsgegevens betrokken zijn. In zo’n geval spreken we van een datalek met een hoog risico. Meer informatie over het melden van datalekken aan slachtoffers vindt u hier.
Zijn uw persoonsgegevens gelekt, dan is daaraan – hoe vervelend ook – helaas niets meer te doen. Het lek kan immers niet meer worden teruggedraaid. Wel kunt u gebruik maken van uw privacyrechten. Zo heeft u bijvoorbeeld recht op inzage in de persoonsgegevens die een organisatie van u heeft. Of u kunt vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen. Deze rechten heeft u overigens ook als er geen sprake is van een datalek.
Dat uw privacy geschonden is, betekent niet automatisch dat u een schadevergoeding kunt krijgen. Meestal kan dit namelijk niet. Volgens het aansprakelijkheidsrecht moet u namelijk kunnen aantonen dat u schade lijdt. Daarbij moet u aantonen dat er een oorzakelijk verband is tussen uw schade en de fout van de tegenpartij. Dit is bij datalekken meestal erg moeilijk. Wat is immers uw financiële schade? Dat u zich er – overigens zeer begrijpelijk – zorgen om maakt, is geen financiële schade. En een risico op identiteitsfraude maakt nog niet dat u nú al schade lijdt. Lijdt u dan toch schade? Dan is het moeilijk te bewijzen dat dit komt door dat ene datalek, en niet door iets anders.