Is verlies van data ook een datalek?
23/03
2016
2016
Dat je verlies van persoonsgegevens moet melden onder de meldplicht datalekken begrijp ik. Maar waarom ben ik het ook verplicht te melden als er gegevens verloren gaan? Er kan toch per definitie geen identiteitsdiefstal of fraude plaatsvinden als gegevens wég zijn?
Voor veel mensen is het niet echt intuïtief dat verloren gaan (wissen) van gegevens telt als een datalek. Maar het is echt zo. Het is alleen even een puzzel in de Wet bescherming persoonsgegevens (Wbp).
De wet (art. 34a Wbp) bepaalt dat melding moet worden gedaan bij iedere “inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” En artikel 13 zegt dan weer dat het doel van de beveiliging moet zijn de gegevens te beschermen “tegen verlies of tegen enige vorm van onrechtmatige verwerking.”
Met ‘verlies’ wordt bedoeld het kwijtraken in de zin dat een ander ze te pakken kan krijgen. Een USB-stick met onbeveiligde persoonsgegevens in de trein verliezen dus. Maar “enige vorm van onrechtmatige verwerking” betekent in feite “iedere verwerking die geen grondslag heeft”. En verwerking is dan weer “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval … uitwissen of vernietigen van gegevens”. Vernietigen of wissen is dus `verwerken’.
Wie data laat wissen of vernietigen zonder toestemming of andere wettelijke grondslag, verwerkt ze onrechtmatig en schendt daarmee zijn beveiligingsplicht uit artikel 13. Daarmee kom je in het vizier van de datalekmeldplicht en moet je bepalen of dat wissen “ernstige nadelige gevolgen” heeft of kan hebben. Zo ja, dan moet het worden gemeld.
Wissen kan nadelig zijn, omdat de betrokken persoon daardoor vaak niet meer kan bewijzen waar hij aan toe is. Als alle betaalgegevens zijn gewist, zijn alle klanten ineens wanbetaler. Als de notitie is gewist dat ik recht heb op korting de volgende keer, krijg ik mijn korting niet. Sta ik op de lijst van geautoriseerde bezoekers die nu gedelete is, dan kan ik niet naar binnen. En er zijn zo nog meer voorbeelden. Als die ernstig genoeg zijn, dan moet het wissen worden gemeld.
In de beleidsregels meldplicht datalekken wordt daarover nog opgemerkt dat wanneer je een backup hebt, er geen sprake is van ernstige nadelige gevolgen. Je kunt het wissen dan immers meteen ongedaan maken.
Arnoud
Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!
Datum: woensdag 23 maart 2016, 08:18
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Meldplicht datalekken en uitbreiding boetebevoegdheid Cbp 1 januari 2016 van kracht (10/07/15 13:13)
- Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen (23/07/15 08:05)
- Moet je betrokkenen vertellen dat je een melding bij de AP hebt gedaan van hun datalek? (16/03/20 08:10)
- Wetsvoorstel meldplicht datalekken. Eindelijk! (22/12/11 14:14)
- Datalek: marketingactie lekt gegevens 84.000 deelnemers (09/07/12 14:07)
Reacties:
Er zijn nog geen reacties op dit bericht.