Skip to main content

Bijlage 4 - Beslisboom datalekken

Vraag 1: Is er sprake van een beveiligingsincident?**

Er is sprake van een gebeurtenis waardoor een datalek zou kunnen ontstaan. Een beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatieverwerkende systemen in gevaar is of kan komen.

Ja: ga verder naar 2. Nee: geen actie.

Vraag 2: Is er sprake van een inbreuk i.v.m. persoonsgegevens (=datalek)?

Persoonsgegevens Dit is alle informatie die direct of indirect te herleiden is tot een persoon (= betrokkene).

Inbreuk Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Of om ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Tijdelijk of permanent verlies van controle over, of geen toegang tot persoonsgegevens is ook een datalek.

Zijn er bij het beveiligingsincident persoonsgegevens verloren gegaan of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?

Ja: er is sprake van een datalek. Ga verder naar 3. Nee; er is sprake van een beveiligingsincident, registreer register en neem verder in behandeling.

Vraag 3: In welke categorie(ën) valt het datalek?

Inbreuk op vertrouwelijkheid Er is sprake van onbevoegde of onopzettelijke openbaring van, of toegang tot persoonsgegevens.

Inbreuk op integriteit Er is sprake van onbevoegde of onopzettelijke wijziging van persoonsgegevens.

Inbreuk op beschikbaarheid Er is sprake van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Ga door naar 4.

Vraag 4: Melding datalek bij Autoriteit Persoonsgegevens?

Datalekken met een hoog risico voor rechten en vrijheden van betrokkenen (lichamelijke, materiële of immateriële schade) moeten gemeld worden aan de Autoriteit Persoonsgegevens en aan betrokkenen. Het gaat met name om persoonsgegevens van gevoelige aard of een datalek met een aard en omvang die leidt tot een (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens van betrokkenen.

Afwegingsrichtlijn:

Hoog risico:

  • Discriminatie;
  • Identiteitsdiefstal of – fraude;
  • Financiële verliezen;
  • Reputatieschade
  • Bijzondere / gevoelige persoonsgegevens:
  • Ras of etnische afkomst
  • Politieke opvattingen
  • Godsdienst of levensovertuiging
  • Lidmaatschap vakbond
  • Genetische of biometrische gegevens met het oog op unieke identificatie
  • Gezondheid
  • Seksuele leven
  • Strafrechtelijke gegevens (gevoelig)
  • Persoonsgegevens zijn zeer omvangrijk
  • Persoonsgegevens zijn definitief verloren gegaan.

Wegingsfactoren:

  • Waarschijnlijkheid en ernst van het risico voor op lichamelijke, materiële of immateriële schade):
  • Aard van de inbreuk (beschikbaarheid, vertrouwelijkheid, integriteit: persoonsgegevens gewist, gewijzigd, gelekt?).
  • Aard, gevoeligheid en omvang van de persoonsgegevens;
  • Gemak waarmee personen kunnen worden geïdentificeerd;
  • Ernst van de gevolgen voor personen;
  • Bijzondere kenmerken van de persoon;
  • Bijzondere kenmerken van de verwerkingsverantwoordelijke;
  • Het aantal getroffen personen;
  • Algemene punten combinatie van ernst en mogelijke gevolgen en de waarschijnlijkheid dat dit zich zal voorden.

Uitzonderingen

Een datalek hoeft niet gemeld te worden i.g.v.:

  • Vooraf getroffen maatregelen ter bescherming van de persoonsgegevens (bijv. encryptie anonimiseren).
  • De gegevens dienen nog volledig intact te zijn, er dient volledige controle over de gegevens te zijn. De sleutel voor encryptie of hashing heeft geen gevaar gelopen en is niet vindbaar voor onbevoegden.
  • De onjuiste ontvanger is betrouwbaar (bijv. zakelijke relatie/ketenpartner, er is sprake van beroepsgeheim, de ontvanger volgt instructies m.b.t. vernietigen op).

Is er, na afweging van bovenstaande factoren, sprake van een hoog risico voor de rechten en vrijheden van betrokkenen?

Ja: melden aan AP en door naar vraag 7. Nee: Nee: registreer het datalek en neem verder in behandeling.

Vraag 6: Melding datalek aan betrokkenen?

Wanneer een datalek niet aan de AP hoeft te worden gemeld, hoeft deze ook niet aan betrokkenen te worden gemeld. Melding aan betrokkenen is ook niet nodig i.g.v.:

  • Maatregelen achteraf waardoor het risico voor rechten en vrijheden zich waarschijnlijk niet meer zal voordoen.
  • Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen (bijv. nationale/openbare veiligheid, privacy anderen).

Hoog risico

Een datalek met hoog risico dient te worden gemeld aan betrokkenen, het betreft:

  • Fysieke schade (bijv. in de zorgsector: cruciale medische gegevens zijn gewist met risico dat iemand (tijdelijk) niet de benodigde zorg krijgt. Of bij doorbreking van het beroepsgeheim).
  • Materiële schade (bijv. financieel verlies, identiteitsdiefstal, -fraude).
  • Immateriële schade (bijv. discriminatie, reputatieschade, inbreuk persoonlijke levenssfeer).

Is er sprake van hoog risico voor de “rechten en vrijheden van betrokkenen”?

Ja: melden aan betrokkenen. I.g.v. onevenredige inspanning om betrokkenen te informeren mag een openbare mededeling worden gedaan. Nee: niet melden aan betrokkenen.