Datalekbepaling is aan datalekker zelf

Of een datalek moet worden gemeld hangt af van een aantal dingen: gaat het om een lek met persoonsgegevens en is de data toegankelijk na het lek. Als een organisatie passende technische maatregelen heeft genomen, encryptie bijvoorbeeld, zodat de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn die geen recht heeft op kennisname van die gegevens.

Naast dat het lek gemeld moet worden aan de Autoriteit, dient ook de getroffen persoon geïnformeerd te worden, zegt de minister. Dat dient op individuele basis te gebeuren. En de persoon moet informatie krijgen om de negatieve gevolgen van het datalek te beperken, zoals het wijzigen van de gebruikersnamen en wachtwoorden. Daarnaast kan ook algemene voorlichting worden gegeven, bijvoorbeeld op de website van het bedrijf.

Boete en onderzoek

Mocht een datalek niet worden gemeld en komt de Autoriteit Persoonsgegevens er wel achter, dan kan er een boete worden opgelegd, schrijft de minister. Ook is de Autoriteit bevoegd om onderzoek te doen naar mogelijke overtredingen van de wet.

De minister reageert indirect op het datalek bij Uber, waarbij data van 57 miljoen mensen werd gestolen bij Uber – waaronder 174.000 Nederlanders. Uber verzweeg de hack in eerste instantie, betaalde de dieven een bedrag van 100.000 dollar om hun daad stil te houden en de buit te vernietigen en meldde de diefstal pas maanden later aan de Autoriteit Persoonsgegevens.

Overigens is Uber niet het enige bedrijf dat een datalek verzwijgt. Slechts 11 procent van organisaties licht klanten direct in na een datalek. De helft brengt klanten niet volledig op de hoogte in geval van datadiefstal, aldus een jaarlijks onderzoek van CyberArk. Het informeren van klanten komt ná andere prioriteiten zoals: het inlichten van directie en medewerkers, het updaten van securitysystemen, het weer op gang brengen van de organisatie, en het beheren van de eigen reputatie en communicatie.