ALMERE | LELYSTAD

Coronavirus – wat betekent dit voor jouw onderneming?

036 5346220

Bel elke werkdag tussen 10 en 11 naar ons GRATIS telefonisch spreekuur voor al je vragen over ondernemingsrecht, arbeidsrecht en familierecht 

De dag van de privacy & datalekken

Op de dag van de privacy, 28 januari, is het belangrijk om stil te staan bij de actualiteiten omtrent privacy. Deze week verscheen er in het nieuws dat de GGD, Nederlands meest bekende instantie in deze coronatijden, te maken heeft gehad met een datalek. Uit recent onderzoek van RTL-nieuws is gebleken dat er grootschalig gehandeld is in persoonsgegevens van miljoenen Nederlanders. Deze persoonsgegevens waren afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dit datalek, dat al driekwart jaar aanwezig is, heeft er voor gezorgd dat er verschillende soorten persoonsgegevens op straat kwamen te liggen. In dit geval ging het om adressen, telefoonnummers, burgerservicenummers en testresultaten van burgers. De Autoriteit Persoonsgegevens geeft aan dat conform de Algemene Verordening Gegevensbescherming (AVG), alleen medewerkers van een zorgorganisatie die een behandelrelatie hebben met de patiënt toegang mogen hebben tot patiëntgegevens. Dit kan naast artsen en verpleegkundigen, ook het overig personeel van ondersteunende afdelingen zijn. Het datalek bij de GGD heeft er dus voor gezorgd dat de toegang tot deze gegevens niet beperkt is gebleven tot enkel de voorgenoemde actoren.

Wat is een datalek?

Datalekken zijn, helaas, niet ongewoon. Zo is uit recent onderzoek gebleken dat Nederland de 2e positie in Europa inneemt voor wat betreft het aantal (gemelde) datalekken. Een zekere paradox begint dan ook merkbaar te worden. De bewustwording, alsmede de regelgeving, omtrent privacy is aan het toenemen. Tegelijkertijd lijken privacyrechtelijke inbreuken ook vaker voor te komen in de praktijk. Datalekken zijn daar actuele voorbeelden van. In dat kader is het goed om te weten wat nou precies een datalek is en hoe men dient om te gaan met een (potentieel) datalek.

De term ‘datalek’ komt formeel niet voor in de AVG. In de plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’. Meer concreet, uit artikel 4 lid 12 van de AVG volgt dat onder een datalek moet worden verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmachtige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Betrokken personen dreigen schade te lijden door de handelingen zoals hierboven genoemd.

Wat te doen bij een datalek

Indien er sprake is van een datalek, dan dient men snel tot actie over te gaan om het datalek te beëindigen en de eventuele negatieve gevolgen voor de betrokken personen te beperken. De betrokken personen dienen vaak ook ingelicht te worden over het datalek. Tevens kan het zijn dat men, afhankelijk van de aard en de ernst van het datalek binnen 72 uur een datalek moet melden bij de Autoriteit Persoonsgegevens. Bij het niet of niet tijdig melden, riskeert men een boete. Ook het niet of niet tijdig melden van het datalek bij de betrokken personen kan leiden tot een boete. Bovendien kunnen de betrokken personen een actie tot schadevergoeding instellen bij de rechter vanwege mogelijke inbreuken.

Nieuwe guidelines datalekmeldingen

Dat een datalek en datalekmeldingen zeer actueel zijn, blijkt ook uit de ontwikkelingen op Europees niveau. De European Data Protection Board (EDPB) heeft onlangs nieuwe guidelines over datalekmeldingen vastgesteld. De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep (voorganger van de EDPB). Zo worden organisaties geholpen bij de maatregelen die ze moeten nemen bij een datalek. In de guidelines staat een lijst met veel voorkomende soorten datalekken (zoals ransomware-aanvallen en zoekgeraakte/gestolen apparatuur). Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.

Heeft u vragen over privacyvraagstukken in algemeen of datalekken in het bijzonder? Neem dan contact op met onze sectie privacyrecht. Wij beantwoorden graag uw vragen.

Zana Sami, advocaat Privacyrecht

 

Rechtsgebieden

Share on facebook
Share on google
Share on twitter
Share on linkedin

Rechtsgebieden (niet verwijderen)

Okkerse & Schop Advocaten maakt voor deze website gebruik van cookies en daarmee vergelijkbare technieken. Cookies zijn kleine digitale tekstbestanden die in de browser worden geplaatst bij het bezoek aan een website. Okkerse & Schop Advocaten gebruikt functionele cookies om de website naar behoren te laten functioneren. Analytische cookies worden gebruikt om het websitegebruik te analyseren en de website te verbeteren. Met het gebruik van functionele cookies en analytische cookies worden geen persoonsgegevens verwerkt. U kunt uw cookievoorkeuren op ieder moment aanpassen door de instellingen van de browser te wijzigen. Raadpleeg ons privacy- en cookie statement voor meer informatie.