Autoriteit Persoonsgegevens ontvangt bijna 21.000 datalekken in 2018

Autoriteit Persoonsgegevens ontvangt bijna 21.000 datalekken in 2018

Vandaag lazen we dat de Autoriteit Persoonsgegevens in 2018 twee keer zoveel meldingen van datalekken heeft ontvangen als in 2017. 

Interessant om daarbij te zien is dat 63% van de meldingen betrof de situatie dat persoonsgegevens zijn verstuurd of zijn afgegeven aan verkeerde ontvanger. Daarbij meldt de Autoriteit Persoonsgegevens tevens dat het in 58% van de meldingen slechts één persoon betrof. Verder lezen we dat de meest gelekte gegevens naam, geslacht en contactgegevens zijn.

Als ik die gegevens combineer kun je je afvragen in hoeverre de Autoriteit Persoonsgegevens meldingen heeft gekregen van datalekken die niet gemeld hadden hoeven te worden. Daar doet de Autoriteit Persoonsgegevens hier helaas geen uitspraken over.

De AVG zegt dat de meldplicht aan de Autoriteit niet geldt als het niet waarschijnlijk is dat de inbreuk in verband met de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Als er naam, geslacht en contactgegevens van één persoon gelekt zijn kun je je afvragen of dat een risico inhoudt voor de rechten en vrijheden van die persoon. Dat hangt natuurlijk ook af van de context. Zo kunnen naam, geslacht en contactgegevens gelekt door een bepaalde afdeling van een ziekenhuis informatie opleveren over de gezondheidstoestand van die persoon. Maar in andere gevallen kan ik mij voorstellen dat het lekken van naam, geslacht en contactgegevens niet gelijk een risico inhoudt voor de rechten en vrijheden van die desbetreffende persoon.

Echter, wij zien vaak dat er altijd gemeld wordt. In het kader better safe than sorry. Je kunt immers ook de melding later intrekken. Op zich kunnen wij daar wel iets bij voorstellen. Maar soms zijn de beweegredenen verkeerd. Men is vaak bang voor de betrokkene zelf en het journaille.

Als de betrokkene namelijk namelijk zelf klaagt bij de Autoriteit Persoonsgegevens over het lekken van zijn of haar gegevens, en het blijkt volgens de Autoriteit Persoonsgegevens een meldplichtig datalek te zijn, en het datalek is niet aan de Autoriteit Persoonsgegevens gemeld, dan neemt de Autoriteit Persoonsgegevens dat hoog op.

Daarnaast kan een betrokkene zich ook tot het journaille wenden. En die zijn vaak niet genuanceerd. Die gebruiken het begrip “datalek” als een breed begrip. Als de lekkende partij dan om commentaar wordt gevraagd, kun je als lekkende partij niet zeggen dat je de afweging gemaakt hebt, en tot de conclusie gekomen bent dat je het datalek niet meldt. Want als je dat wel zou doen als lekkende partij, is de wedervraag waarom niet, want het is toch een datalek?

Soms heb je geen keuze. Dan inderdaad maar melden, ook al weet je dat het geen meldplichtig datalek is. Niemand zit op bad PR te wachten.