Tekst Tijs Weustenraad
Wat als een virus uw digitale archief platlegt? En wat als de gegevens daarin niet raadpleegbaar zijn of zelfs onherstelbaar zijn beschadigd? Dan kan er sprake zijn van een datalek. Een datalek in de zin van de AVG is ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.’ De AVG schrijft voor dat de verwerkingsverantwoordelijke dit datalek uiterlijk binnen 72 uur aan de Autoriteit Persoonsgegevens (AP) dient te melden. In bepaalde omstandigheden moeten ook de betrokkenen op de hoogte te worden gesteld.
Moet men een datalek dan altijd melden? Het antwoord is: nee. Als het niet waarschijnlijk is dat het datalek een risico inhoudt voor de vrijheden en rechten van de betrokkenen, is een melding niet nodig. In ons voorbeeld zou daar mogelijk sprake van kunnen zijn als er een recente back-up is gemaakt. Als de archiefbescheiden daardoor weer in de oorspronkelijke staat raadpleegbaar zijn en verder niet in verkeerde handen terecht zijn gekomen, dan is het waarschijnlijk dat er geen sprake is van een dergelijk risico voor de betrokkenen.
Een datalek moet ook gemeld worden aan de betrokkenen, wanneer het lek een risico betekent voor de rechten en vrijheden van de betrokkenen. Daarvan is in ieder geval sprake als het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokkenen. Bijvoorbeeld wanneer de kans bestaat op financieel verlies, identiteitsdiefstal of -fraude, reputatieschade of discriminatie.
Of de datalekken nu wel of niet worden gemeld, de verwerkingsverantwoordelijke is verplicht om intern alle datalekken – dus ook de niet gemelde – te registreren (in een intern datalekkenregister). Raadzaam is om in de gevallen dat men de afweging maakt om niet te melden, dat ook in het logboek te verantwoorden en te onderbouwen. Het is voor archiefinstellingen raadzaam om intern een persoon aan te wijzen die verantwoordelijk is voor de beoordeling van mogelijke datalekken. Als in uw organisatie een functionaris gegevensbescherming (FG) is aangesteld, dient een datalek altijd met (in ieder geval) de FG te worden besproken. Daarnaast is het handig om een intern datalekkenprotocol te hebben, waarin wordt omschreven hoe de medewerkers moeten handelen in het geval van een datalek.
