4 min read

Verslag van het AVG-seminar van 23 maart 2023: Autoriteit Persoonsgegevens legt uit hoe ze datalekmeldingen beoordeelt

30 March 2023

Afgelopen jaar heeft de Autoriteit Persoonsgegevens (AP) haar online meldloket voor datalekken aangepast. Het overleg dat Özer Zivali en Elisabeth Thole hierover met de AP hadden, was mede de aanleiding om de AP (Özlem Sehirli-Kaya en Dennis Davrados) te vragen om een presentatie te verzorgen over haar risicogestuurd toezicht op de meldplicht datalekken.

Naast de AP waren er tijdens ons seminar ook bijdragen van Fox-IT (Christian Prickaerts en Willem Zeeman) en van onze Van Doorne collega’s: Hugo Reumkens, Annemetje Koburg en Özer Zivali over de rol van bestuurders, collectieve acties en de privacy aspecten bij datalekken. Het seminar stond in het teken van vijf jaar AVG, met als centraal thema datalekken, zowel vanuit het toezichtperspectief als de toenemende claimcultuur.

Fox-IT licht forensisch onderzoek naar datalekken toe

Fox-IT heeft duiding gegeven aan het forensisch onderzoek naar datalekken. Als belangrijke key take aways noemde Fox-IT aan de ene kant standaardisatie van IT-systemen – het hoeft allemaal niet zo complex te zijn als veel organisaties denken -, en aan de andere kant het menselijk proces. De IT-systemen kunnen nog zo goed ingericht zijn, als een sein van ongeautoriseerde toegang in de systemen geen mens bereikt in de organisatie, kan dit alsnog voor grote risico’s zorgen. 

AP is transparant over risicofactoren voor het beoordelen van datalekmeldingen

In haar presentatie heeft de AP uitleg gegeven hoe zij beoordeelt of een gemeld datalek een hoog risico melding is waarvoor extra aandacht nodig is. In de Europese Unie is de AP een topontvanger van datalekmeldingen. Mede daarom zal de AP bij het toezicht op de meldplicht datalekken “het kaf van het koren” moeten scheiden, en zich moeten focussen op de meest ernstige en risicovolle datalekken. Bij haar beoordeling speelt een aantal risicofactoren een rol, zoals cyberaanvallen, het niet melden van het datalek aan slachtoffers, onvoldoende technische en organisatorische maatregelen die zijn getroffen, het niet melden van het datalek aan de AP, wanneer veel slachtoffers bij het datalek betrokken zijn en wanneer het datalek bijzondere en/of gevoelige persoonsgegevens betreft. AP is transparant over risicofactoren voor het beoordelen van datalekmeldingen Fox-IT: Willem Zeeman en Christian Prickaerts Amsterdam, maart 2023 Van belang voor de AP is ook het toezicht op grote verwerkers. Indien zich incidenten bij een IT-leverancier voordoen, kan dat leiden tot grote datalekken bij veel organisaties, de verwerkingsverantwoordelijken. Omdat dit veel betrokkenen kan raken, richt de AP zich met haar toezicht ook op de verwerker. De AP houdt ook toezicht op niet-gemelde datalekken bij verwerkers, burgersignalen en mediasignalen. Binnenkort zal de AP weer een nieuwe jaarrapportage uitbrengen over de bij haar gemelde datalekken.

Paneldiscussie over de aanpak van datalekken en de gevolgen daarvan, zoals claims

Tijdens de paneldiscussie is een casus over ransomware behandeld. Daarbij is stilgestaan bij de positie van investeerders, aandeelhouders en het management, alsmede wat te doen met de jaarrekening en de rol van de accountant. Vragen die tevens de aandacht behoeven is of het verstandig is om te communiceren met de aanvaller en of de organisatie er goed aan doet om losgeld te betalen. Wanneer er geen sprake is van een back-up en het datalek leidt tot bedrijfsstilstand of ernstige consequenties voor de betrokkenen, staat een organisatie voor een lastig dilemma. De ervaring leert ook dat het verstandig kan zijn om aangifte te doen bij de politie. Voor de mogelijke aansprakelijkheden is het ook goed om te kijken naar de gesloten (cyber)verzekeringen. Vanuit de privacy praktijk is relevant dat sprake moet zijn van een goed intern datalekbeleid en dat mensen goed worden opgeleid om datalekken tijdig te detecteren. Vaak ligt meteen de focus op het reparatiewerk, maar juist ook de positie van de betrokkenen mag niet uit het oog verloren worden. Dit zou anders ook goed kunnen leiden tot individuele of collectieve schadeclaims op basis van de WAMCA. Een trend dit zich inmiddels steeds meer lijkt door te zetten, en waarvoor we bij recente zaken, zoals de Facebook-uitspraak van 15 maart 2023, ook steeds meer aanknopingspunten zien.

Paneldiscussie over de aanpak van datalekken en de gevolgen daarvan, zoals claims AP: Dennis Davrados, Özlem Sehirli-Kaya; samen met Elisabeth Thole en Özer Zivali Amsterdam, maart 2023 Uw contacten Door transparanter te zijn over haar aanpak van datalekken, heeft de AP in ieder geval ook weer tijdens ons seminar laten zien dat haar missie is “een bijdrage te leveren aan de digitale weerbaarheid van burgers, bedrijven en overheden”. De AP gaf daarbij ook aan de rol van “de belangenbehartigers” steeds belangrijker te gaan vinden, omdat zij voor de AP een kanaal kunnen zijn om organisaties verder te helpen bij hun privacycompliance activiteiten.