Column


IT-jurist Peter van Schelven over...

Dossiervorming na een datalek

Stel, als bedrijf heb je te maken met een medewerker A die toegang heeft gekregen tot niet voor hem bestemde data in het interne IT-systeem van het bedrijf waar hij werkt. Voor de medewerker was er geen goede reden om van die gegevens kennis te nemen. Voor de uitoefening van zijn functie was dat zeker niet nodig. Als de medewerker zich moedwillig de toegang tot de data heeft verschaft en er dus niet sprake is van een abuis of een toevallige technische fout, dan hebben we duidelijk te maken met een overschrijding van het autorisatieschema. 

Wat doe je wanneer je als bedrijf zoiets ontdekt? Uiteraard ga je kijken welke gegevens zijn bekeken en welke daarvan wellicht zijn opgeslagen in de eigen email of digitale mappen van die medewerker. Zitten daar persoonsgegevens tussen, dan is volgens de Algemene Verordening Gegevensbescherming (AVG) sprake van een datalek. Ook interne datalekken zijn immers datalekken. Het bedrijf zal in zo’n situatie moeten afwegen of het het datalek bij de Autoriteit Persoonsgegevens en de getroffen burgers meldt. Na een melding kan de burger die door het lek is geraakt, overwegen passende beschermende maatregelen te treffen, zoals het blokkeren van gelekte creditcardnummers. 

Meldplichtig datalek? 
Niet ieder datalek hoeft blijkens de AVG gemeld te worden. Er bestaat wettelijk een zekere speelruimte om in dit verband verstandige afwegingen te maken. Bij die afweging speelt onder meer de aard van de gelekte gegevens een rol van betekenis. Logisch, want als het om een medisch of financieel dossier gaat, dan is er geen twijfel mogelijk. Dat datalek moet uiteraard worden gemeld. 
Gaat het echter om een tamelijk klein en onschuldig bestandje dat voor 99,95 procent bestaat uit louter gegevens over de technische werking van een product, maar waarin tevens de naam van een bij dat onderwerp betrokken collega B staat, dan kan niet snel worden gezegd dat privacygevoelige gegevens in het geding zijn. Niemand – ook die collega B niet – zal door het lekken van de technische productinformatie persoonlijk nadeel ervaren. Vanwege de naam is er weliswaar sprake een datalek in juridische zin, maar onder de AVG is dat een datalek dat buiten de meldplicht valt. 

Securityregister 
Is daarmee de kous af? Nee, want de AVG verplicht het bedrijf het security-incident in een intern register vast te leggen, ook al is het incident verwaarloosbaar. Bij die registratie moet bovendien worden vastgelegd waarom het datalek in kwestie wel of niet gemeld wordt. De gedachte achter die regel is dat het bedrijf – indien de Autoriteit Persoonsgegevens later daarnaar mocht vragen - zijn keuze kan verantwoorden. 

Het register is een dus een middel om de transparantie die de AVG verlangt te versterken. De AVG verlangt ook dat je als bedrijf ‘accountable’ handelt. Dat wil zeggen: je moet kunnen aantonen dat je aan de AVG voldoet. Dat houdt ook in dat je moet kunnen aantonen dat je een behoorlijke security in huis hebt. 

Wissen of bewaren? 
De mogelijkheden om je als bedrijf te verantwoorden staan al snel op de tocht wanneer het bedrijf na een dergelijk ongelukkig incident niet tevens een kopie van de getroffen gegevens maakt. Alleen als je dat wel doet en een kopie van de getroffen data bewaart, waarborg  je dat je later nog kan nagaan wat de aard van de bij het incident betrokken gegevens precies was.  
Dat brengt mij bij de kern van deze blog. De denkbare reflex van het bedrijf om de data die zich ten onrechte onder medewerker A bevinden onverwijld te wissen en te vernietigen, is misschien wel begrijpelijk. Vanuit een optiek van ‘accountability’ is dat niet zonder meer verstandig. Door te wissen kan je later niet aantonen wat de aard van de betrokken gegevens - zoals gezegd: een belangrijke wegingsfactor bij de meldingsplicht – was. 

Kortom, heb je als organisatie met een security-incident te maken, dan doe je er met het oog op dossiervorming verstandig aan na te denken over de vraag of en hoe het de door het datalek getroffen persoonsgegevens (inclusief relevante contextuele data) bewaard moet worden. Een kwestie van zorgvuldigheid. Definitief wissen is dus niet zo’n vanzelfsprekende reactie. 
 
IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.   
 
Kijk hier voor de eerdere bijdragen van Peter van Schelven. 

Lees meer over