Ruim drie jaar geleden is de Algemene verordening gegevensbescherming (‘AVG’) van toepassing geworden. In onze AVG-blogserie lichtten wij destijds de belangrijkste veranderingen toe die de AVG teweeg zou gaan brengen voor organisaties, waaronder veranderingen ten aanzien van de meldplicht datalekken en de boetebevoegdheden van de nationale toezichthouders.
Inmiddels hebben zich al heel wat datalekken in Nederland voorgedaan. Lang niet al die datalekken zijn (tijdig) bij de Autoriteit Persoonsgegevens (‘AP’) en betrokkenen gemeld. Dit heeft in een aantal gevallen geresulteerd in boetes. Zo ook in het geval van Booking.com (een boete wegens het te laat melden van een datalek) en de PVV Overijssel (een boete wegens het uitblijven van een melding). Uit de recent gepubliceerde boetebesluiten in deze beide zaken, kunnen een aantal lessen voor de praktijk worden getrokken. Die zullen in deze blog aan bod komen. Eerst wordt stil gestaan bij het recentelijk geactualiseerde meldformulier datalekken.
Meldformulier
Op maandag 31 mei 2021 publiceerde de AP een aangepast meldformulier datalekken op haar website. In dat formulier zijn wijzigingen doorgevoerd naar aanleiding van de op- en aanmerkingen die de AP de afgelopen jaren heeft ontvangen van organisaties die het meldformulier gebruikt hebben.
In het formulier kunnen organisaties nu ook bulkmeldingen doen als sprake is van meerdere gelijksoortige inbreuken als gevolg van een grootschalige postverzending. Dat geldt momenteel echter slechts voor een zeer beperkt aantal organisaties. Op dit moment loopt er een pilot waarbij alleen pensioenfondsen, verzekeraars en banken inbreuken in bulk mogen melden. Mogelijk kunnen in de toekomst ook andere organisaties toestemming aan de AP vragen voor het indienen van bulkmeldingen.
Verder valt op dat niet langer alle vragen ineens inzichtelijk zijn in het formulier, maar dat er telkens nieuwe vragen worden gepresenteerd op basis van de antwoorden die worden gegeven. Ook zijn een aantal vragen en onderdelen toegevoegd, waaronder een optionele mogelijkheid om relevante begeleidende documentatie en rapportages bij te voegen zoals onderzoekrapportages en een kopie van de melding aan de betrokkene(n).
Een andere welkome toevoeging is de bewaarknop, waardoor het eindelijk mogelijk is geworden om het formulier tussentijds op te slaan en later verder in te vullen. Ook de downloadknop is nieuw. Eerst was het niet mogelijk om een kopie van het meldformulier te downloaden wanneer het eenmaal was ingediend (behalve door na indiening direct op de printknop te drukken en het formulier op te slaan als PDF-bestand). Daar is nu dus verandering in gebracht.
Het tussentijds opslaan van het meldformulier (sessie) betekent niet dat er een melding aan de AP is verzonden. Bij het bewaren en laden van een sessie worden eerder geselecteerde bijlages niet opgeslagen. Deze zullen dus opnieuw moeten worden toegevoegd.
Tot slot geeft de AP aan dat er een sjabloon kan worden gemaakt voor veelvoorkomende datalekken of een datalek dat zich in een korte tijd vaak voordoet, zodat bepaalde delen van het formulier niet bij elke melding opnieuw ingevuld hoeven worden. Mogelijk doelt de AP hiermee op het doen van een voorlopige melding die later kan worden aangevuld, want er lijkt zich geen aparte sjabloonknop in het meldformulier te bevinden.
Voorwaardelijke melding en kennisneming
Met het indienen van een zo’n voorlopige melding – ook wel pro forma-melding of voorwaardelijke melding genoemd – had Booking.com (hierna: “Booking”) zichzelf zeer waarschijnlijk een bestuurlijke boete van € 475.000,- kunnen besparen. Die boete was opgelegd omdat Booking het datalek niet tijdig had gemeld aan de AP.
In deze zaak speelde de discussie over het moment waarop een organisatie geacht wordt kennis te hebben genomen van een datalek een belangrijke rol. Dat moment is namelijk bepalend voor het tijdstip waarop de 72-uurstermijn begint te lopen, waarbinnen een datalek in beginsel gemeld dient te worden bij de toezichthouder.
Volgens de AP en andere lokale Europese toezichthouders moet een verwerkingsverantwoordelijke geacht worden kennis te hebben genomen van een datalek wanneer hij een redelijke mate van zekerheid heeft dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid.
Booking meende dat zij die redelijke mate van zekerheid had nadat haar Security Team de resultaten van het onderzoek naar het datalek had teruggekoppeld aan haar Privacy Team op 4 februari 2019. Het Privacy Team stelde naar aanleiding van dat onderzoekrapport op 6 februari 2019 vast dat sprake was van een meldingsplichtig datalek. Die melding werd op 7 februari 2019 – en volgens Booking dus op tijd – bij de AP gedaan.
De AP oordeelt echter anders en meent dat Booking op 13 januari 2019 al kennis had genomen van het datalek. Op dat moment ontving Booking namelijk een tweede signaal dat zich een veiligheidsincident had voorgedaan dat tot de compromittering van door Booking verwerkte persoonsgegevens had geleid. Zij kreeg te horen dat een betrokkene telefonisch naar zijn persoonsgegevens was gevraagd door iemand die zich voordeed als een medewerker van Booking en die op de hoogte was van de door de betrokkene via het platform van Booking gemaakte reservering. Eerder had Booking al een soortgelijk signaal ontvangen.
Booking had in dit verband aangevoerd dat melden binnen 72 uur niet altijd mogelijk is, omdat een onderzoek naar de omvang en precieze merites van een inbreuk langer dan 72 uur in beslag kan nemen. De AP onderschrijft dit standpunt, maar wijst Booking op de mogelijkheid om een melding in stappen te doen. Het grondige onderzoek waar Booking naar verwijst, rechtvaardigt de vertraging van de (initiële) melding volgens de AP daarom niet.
De AVG biedt de mogelijkheid om ook na 72 uur te melden, maar dan moet er wel een motivering van de vertraging worden gegeven. Uit het boetebesluit van Booking kan worden afgeleid dat de AP kritisch naar een dergelijke motivering zal kijken.
Concluderend had Booking volgens de AP binnen 72 uur een voorwaardelijke melding moeten doen. Die melding had Booking dan later kunnen aanvullen met extra informatie uit het onderzoeksrapport. Als achteraf was gebleken dat er toch geen sprake is van een meldingsplicht datalek, dan had zij de melding weer kunnen intrekken.
Externe en interne oorzaken
In het geval van Booking werd het datalek veroorzaakt doordat een onbekende derde toegang had verkregen tot het Extranet van Booking. Daarbij werden diverse persoonsgegevens van gasten gecompromitteerd die in het Extranet werden bewaard, zoals NAW-gegevens, informatie met betrekking tot boekingen, correspondentie tussen accommodaties en gasten en creditcardgegevens van gasten.
Het datalek was kortom ontstaan door een externe onbekende partij. Hoewel het aantal meldingen naar aanleiding van hacking, malware en phishing-incidenten in 2020 fiks is gestegen in 2020 – namelijk met 30% in vergelijking met 2019 – worden de meeste datalekken echter nog altijd intern veroorzaakt. De meeste datalekken vinden namelijk plaats doordat persoonsgegevens worden verstuurd of afgegeven aan een verkeerde ontvanger, zo blijkt uit de jaarrapportage van de AP.
Dat was ook het geval bij de PVV Overijssel. Een van diens medewerkers mailde op 10 januari 2019 een uitnodiging voor een achterbanavond aan een groep van 101 geadresseerden, daarin aangeduid als “vrienden van de PVV”. De e-mailadressen van de geadresseerden waren voor alle genodigden zichtbaar in de adresregel van de e-mail. Toen de PVV Overijssel vervolgens naliet om een melding bij de AP te doen van dit datalek, resulteerde dat uiteindelijk in een boete. De AP was op de hoogte gebracht van dit voorval door een van de ontvangers van de e-mail.
Houd rekening met het feit dat de AP door externen op de hoogte kan worden gesteld over een eventueel datalek binnen uw organisatie. Documenteer daarom altijd goed waarom u wel of juist niet bent overgegaan tot het melden van een datalek, zodat de AP in staat is om de naleving van de meldplicht door uw organisatie te controleren. Hiertoe is uw organisatie ook verplicht op grond van de AVG.
Hoogte van de boetes
In geval van een overtreding van de meldplicht datalekken kunnen nationale toezichthouders een bestuurlijke boete opleggen van maximaal € 10.000.000,- of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar als dat cijfer hoger is.
De AP heeft boetebeleidsregels vastgesteld, waarin een overtreding van de meldplicht datalekken (artikel 33 lid 1 AVG) is ingedeeld in de derde categorie. De basisboete die in deze categorie door de AP is vastgesteld bedraagt € 525.000.
Voor de overtreding van de meldplicht datalekken door Booking (het te laat melden van een datalek) als de overtreding door de PVV Overijssel (het niet doen van een melding) gold dus dezelfde basisboete van € 525.000,-. Beide boetes zijn uiteindelijk verlaagd.
In het geval van Booking is de basisboete uiteindelijk verlaagd vanwege de schadebeperkende maatregelen die zij had getroffen. De AP vindt dat het Booking siert dat zij genoemde maatregelen heeft getroffen en zich bereid heeft verklaard eventuele schade van getroffen personen te vergoeden. Het feit dat Booking op dit punt uiteindelijk voortvarend heeft opgetreden, waardoor de schadelijke gevolgen voor betrokkenen hoogstwaarschijnlijk beperkt zijn gebleven, vindt de AP een reden om de basisboete te verlagen naar € 475.000,-.
De PVV Overijssel had ook aangevoerd dat zij schadebeperkende maatregelen had getroffen. Zij had naar eigen zeggen direct haar werkwijze en processen aangepast om te voorkomen dat een dergelijke fout nogmaals zou kunnen worden gemaakt. De AP ziet daarin geen aanleiding om het basisbedrag naar beneden bij te stellen. Wel werd er rekening gehouden met de financiële omstandigheden waarin de PVV Overijssel verkeerde. Vanwege diens financiële draagkracht werd de boete verlaagd naar een bedrag van € 7.500,-. Dit ondanks het feit het om informatie omtrent de politieke voorkeur van de genodigden (en dus om bijzondere persoonsgegevens) ging en de AP discriminatie en reputatieschade als waarschijnlijk worden beschouwde.
Datalekkenprotocol
Uit het boetebesluit van de PVV Overijssel volgt dat zij na het datalek had aangegeven dat intern iemand zich zou bekwamen in de AVG. Kennelijk was dat voor het incident nog niet gebeurd. Dat lijkt de AP kwalijk te vinden, met name vanwege het feit dat het om persoonsgegevens gaat waaruit politieke opvattingen blijken.
De AP ziet dan ook liever dat organisaties zich de AVG eigen hebben gemaakt voordat er een datalek plaatsvindt. Dat kan door het opstellen van een datalekkenprotocol (ook wel draaiboek datalekken of incident response plan genoemd). Organisaties worden in de richtsnoeren over datalekken door de Europese privacytoezichthouders uitdrukkelijk aangemoedigd om een dergelijk plan op te stellen.
In een datalekkenprotocol staat in de regel hoe er (intern) gehandeld moet worden wanneer er een vermoeden bestaat dat sprake is van een datalek. Daarbij kan worden gedacht aan het inlichten van de Functionaris Gegevensbescherming, het inwinnen van juridisch advies, het treffen van schadebeperkende maatregelen, het instellen van een onderzoek naar de aard en omvang van het datalek, het beoordelen van de risico’s en het melden aan de AP en eventueel ook de betrokkenen.
Denk daarbij ook aan minder voor de hand liggende zaken, zoals het tijdig op de hoogte brengen van de verzekeraar, het aanwijzen van een persvoorlichter of het instrueren van de receptionistes en klantenservice in het geval zij benaderd zouden worden met vragen over het datalek. Juist dat zijn zaken die in the heat of the moment over het hoofd worden gezien en daarom bij uitstek in een incident response plan thuishoren.
Uit het boetebesluit van Booking volgt dat Booking over een zogenaamd “Data Incident Response Policy” beschikte. Zij had haar eigen policy alleen niet opgevolgd. Het vermoeden van het datalek was namelijk niet direct doorgezet naar het Security Team van Booking zoals in het beleid stond omschreven. De AP rekende Booking dit weliswaar aan, maar vond dat uiteindelijk geen reden om de basisboete te verhogen.
Lessons learned
Voor zover bij ons bekend hebben Booking en PVV Overijssel geen bezwaar en beroep aangetekend tegen de boetebesluiten. Hierdoor zullen wij niet te weten komen hoe een rechter tegen de interpretatie van de meldplicht datalekken door de AP in boetebesluiten aankijkt. Hoewel dus niet vaststaat dat de AP het bij het rechte eind heeft, kunnen er wel een aantal lessen uit de boetebesluiten worden getrokken. Lessen die van belang zijn wanneer uw organisatie eventuele discussies met de AP wil voorkomen.
- Heeft uw organisatie sterke vermoedens dat er sprake is van een datalek, maar kan dat binnen 72 uur met zekerheid worden vastgesteld? Doe dan een voorwaardelijke melding bij de AP.
- Het tussentijds opslaan van het meldformulier datalekken betekent niet dat er een melding aan de AP is verzonden. Het opslaan is dus niet aan te merken als een voorwaardelijke melding.
- Ga zorgvuldig om met eventuele mededelingen aan betrokkenen en anderen. Houd er rekening mee dat zij een klacht over uw organisatie bij de AP kunnen indienen.
- Zorg ervoor dat uw organisatie een lijst met contactpersonen en telefoonnummers klaar heeft liggen, zodat u snel de juiste personen kunt bereiken in geval van een datalek of een vermoeden daarvan.
- Stel een datalekkenprotocol op, zodat er snel en adequaat gereageerd kan worden op een datalek en geen belangrijke zaken over het hoofd worden gezien.
- Beschikt uw organisatie al over een datalekkenprocotol, handel er dan ook naar en controleer regelmatig of het protocol nog up-to-date is.
- Win tijdig juridisch advies in wanneer u een informatieverzoek van de AP ontvangt. Houd er rekening mee dat communicatie met een advocaat altijd vertrouwelijk is en niet achteraf door de AP kan worden opgevraagd. Dat geldt niet voor communicatie met juristen, die geen advocaat zijn.
- Wanneer u communiceert met uw advocaat, zorg er dan voor dat al het geschreven materiaal, inclusief e-mails, gemarkeerd zijn met “vertrouwelijk”.
- Wanneer er toch een boete wordt opgelegd, ga dan altijd na of er omstandigheden zijn aan te voeren op grond waarvan de basisboete verlaagd kan worden.
Meer weten?
Wilt u weten of er sprake is van een datalek? Heeft u hulp nodig bij het invullen van het meldformulier datalekken of het opstellen van een datalekkenprotocol? Wilt u advies in verband met een onderzoek of handhavingsbesluit van de AP? Neem dan contact op met Sven van Dooren.