Stel, u bent vertegenwoordiger en vaak en route. Ondanks het feit dat u als goed huisvader voor de door uw werkgever ter beschikking gestelde computer zorgt, wordt deze uit uw leaseauto gestolen. Naast de materiële schade – de kosten van een vervangende laptop- , staan er data op de laptop die niet aan onbevoegden ter beschikking dienen te komen. Te denken valt aan bedrijfsgevoelige gegevens.
Maar het wordt wellicht nog erger. Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Diefstal van een laptop kan een datalek zijn. Of in deze casus sprake is van een datalek, hangt o.a. af van de beveiliging van de gestolen laptop. Maar alleen met de beantwoording van deze vraag bent u er nog niet. Staan er bijvoorbeeld alleen productdetails op uw laptop dan is er geen sprake van een datalek.
Van een datalek is alleen sprake als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Als er persoonsgegevens op de gestolen laptop staan, zou dus sprake kunnen zijn van een datalek dat gemeld moet worden Stel, op de laptop staan gegevens van klanten die gekwalificeerd kunnen worden als persoonsgegevens. Moet u nu iedere klant op de hoogte brengen van de diefstal? Dit zou u willen voorkomen nu dit niet professioneel over komt. De klant kan dan immers denken dat uw organisatie wel heel slordig met zijn gegevens omgaat en wat zegt dat dan over uw dienstverlening. Of een melding gedaan moet worden, hangt af van de vraag of het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de klanten. U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.
Kort en goed, het is nog best ingewikkeld wanneer er sprake is van een datalek en of dit gemeld moet worden. Voorkomen is dan ook beter dan genezen. Voortaan die laptop maar uit de auto halen.
