Er bestaat nogal wat onduidelijkheid over wat nu wel en niet een datalek is in de zin van de Meldplicht datalekken. Zo vormt een kwijtgeraakte usb-stick met daarop persoonsgegevens niet automatisch een datalek.
Een kwijtgeraakte usb-stick valt niet onder de definitie van datalek, wanneer is voldaan aan onderstaande twee eisen:
-je hebt een complete en actuele back-up van de gegevens die op de usb-stick zijn opgeslagen, en
-de usb-stick is versleuteld met een wachtwoord.
Er is namelijk sprake van een datalek indien zich een beveiligingsincident heeft voorgedaan waarbij de persoonsgegevens verloren zijn gegaan of wanneer onrechtmatige verwerking redelijkerwijs niet is uit te sluiten.
Beleidsregels Meldplicht datalekken
Gegevens verloren gegaan?
De gegevens op de usb-stick zijn dan inderdaad niet kwijtgeraakt omdat je zelf beschikt over een actuele en complete back-up van de gegevens. Een adequate en beveiligde back-up van de gegevens is aldus essentieel.
Onrechtmatige verwerking redelijkerwijs uit te sluiten?
De vraag die overblijft is dan wel of onrechtmatige verwerking redelijkerwijs kan worden uitgesloten. De beantwoording van die vraag is afhankelijk van de versleuteling van de gegevens.
In het geval van de usb-stick zal relevant zijn wat voor soort van persoonsgegevens zijn opgeslagen op de usb-stick afgezet tegen de mate van beveiliging. Wanneer de usb-stick bijvoorbeeld zorggegevens bevat en slechts is beveiligd met een eenvoudig wachtwoord, zoals bijvoorbeeld Welkom01, dan lijkt mij dat onrechtmatige verwerking hiervan redelijkerwijs niet kan worden uitgesloten, en zou ik adviseren een melding te verrichten aan de Autoriteit Persoonsgegevens.
Maar wanneer een laptop van een politieagent wordt gestolen waarvan zowel de toegang tot de laptop als de harde schijf volledig is versleuteld (volgens de nieuwste technieken) en de toegangssleutels geheim zijn gebleven, kan onrechtmatige verwerking redelijkerwijs worden uitgesloten en lijkt geen sprake te zijn van een datalek.
Beoordeling
Zorg daarom in uw organisatie voor zowel adequate en actuele back-ups als voor goede beveiligingssleutels. Dit kan datalekken voorkomen. Uiteraard geeft het geen garanties maar wanneer desondanks sprake is van een datalek dat moet worden gemeld aan de Autoriteit Persoonsgegevens, zorgt versleuteling van gegevens ervoor dat de melding aan betrokkenen achterwege kan blijven.
Ondersteuning of behoefte aan verdere kennis op dit vlak? Het Juristencollectief zet haar karakter hier graag voor in. Aarzel dus niet om contact met Esther of Peggy op te nemen.
Deze blog is geschreven door voormalig collega Wilma van de Meerakker.