Geldt de meldplicht datalekken ook voor defaced websites?

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet je dit nu melden aan de klant, valt dit onder de meldplicht datalekken?

De meldplicht datalekken geldt voor alle datalekken waarbij persoonsgegevens zijn betrokken. Een datalek is een inbreuk op de beveiliging van persoonsgegevens waardoor deze kunnen worden misbruikt, of gebruikt op een manier die niet toegestaan is. Doet zo’n datalek zich voor, dan moet dat in principe worden gemeld bij de toezichthouder (tenzij de impact minimaal is) en vaak ook bij de betrokkenen (tenzij de data encrypted was of de impact wederom minimaal is). Dit geldt nu onder de Wbp, en vanaf volgend jaar ook onder de Privacyverordening.

Voor andere data of andere soorten misbruik van persoonsgegevens geldt de meldplicht niet. Mijn standaardvoorbeeld is de hack bij een accountant waarbij de nog geheime jaarcijfers van een bv of nv worden gestolen: heel vervelend maar géén datalek in de zin van de wet en dus ook niet meldingsplichtig.

Bij een defacement worden pagina’s vervangen door andere teksten en/of afbeeldingen, in dit geval dan met een politieke strekking. Ik vraag me af of daarbij persoonsgegevens worden geraakt. Het kan natuurlijk altijd, maar het ligt voor mij niet voor de hand dat iemand die inbreekt om een tekst/afbeelding ergens neer te kwakken, ook persoonsgegevens van gebruikers kopieert of zelfs maar die langs ziet komen. Dus ik zou dit niet direct als datalek aanmerken.

Het is natuurlijk wel zo netjes om dit als bedrijf te melden aan je klant. Ik zou zelf vinden dat je dit verplicht bent vanuit je zorgplicht als goed opdrachtnemer. En vaak staat het ook in de algemene voorwaarden: bij gebleken misbruik of inbraken zal de hoster de klant informeren over genomen maatregelen, daaruit volgt dan ook een plicht tot melden dat een defacement heeft plaatsgevonden. Maar een datalek is het niet.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Gerelateerde berichten:

• Meldplicht datalekken en uitbreiding boetebevoegdheid Cbp 1 januari 2016 van kracht (10/07/15 13:13)
• Datalek: voetbalsites lekken gegevens 6000 gebruikers (26/05/12 09:01)
• Datalek: bibliotheek Universiteit Twente lekt adressen (24/10/12 13:43)
• Datalek: vergeten reservekopieën van databank (23/07/12 12:27)
• Datalek: GGZ Drenthe lekt gegevens gebruikers van forum (23/07/12 12:25)

Reacties: