Datalek Achmea: genezen is beter dan voorkomen

Afgelopen week bleek dat in augustus bij Achmea de NAW-gegevens en BSN van circa 10.000 klanten met een pensioenuitkering uit een verzekering op straat zijn komen te liggen. Van sommige klanten zijn ook de uitgekeerde bedragen uitgelekt. (Uiteraard?) valt iedereen over Achmea heen. Niet alleen omdat er een inbreuk heeft plaatsgevonden. Maar ook (juist) omdat Achmea ervoor heeft gekozen de inbreuk niet aan de getroffen verzekerden mede te delen. Ik vraag me af of dat terecht is. Maar voordat ik daarop inga, eerst kort de regels voor hoe om te gaan met een inbreuk of “datalek”.


Datalek: wat is dat?

Een verwerkingsverantwoordelijke (de “verantwoordelijke”) moet een inbreuk van persoonsgegevens waar mogelijk voorkomen en, wanneer toch een inbreuk plaatsvindt, er tijdig op te reageren. Daarvoor moet beleid worden gemaakt en beveiligingsmaatregelen worden getroffen.

Maar wat is zo’n inbreuk of datalek eigenlijk? Volgens de European Data Protection Board (EDPB, voorheen WP29) is daarvan sprake bij:


"een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens".


Inbreuken kunnen worden ingedeeld in drie categorieën:

1. “Inbreuk op de vertrouwelijkheid": er is sprake van ongeoorloofde of onbedoelde verstrekking van of toegang tot persoonsgegevens.

2. “Inbreuk op de integriteit" – er is sprake van een ongeoorloofde of onopzettelijke wijziging van persoonsgegevens.

3. “Inbreuk op de beschikbaarheid" – er is sprake van een onopzettelijk of ongeoorloofd verlies van toegang tot persoonsgegevens of een onopzettelijke of ongeoorloofde vernietiging van persoonsgegevens.


Afhankelijk van de omstandigheden, kan een inbreuk tegelijkertijd betrekking kan hebben op de vertrouwelijkheid, de integriteit en de beschikbaarheid van persoonsgegevens, of een combinatie. Niet duidelijk is welke categorie inbreuk bij Achmea heeft plaatsgevonden.


Meldplicht datalekken Nederland

De meldplicht datalekken is niet nieuw. Voor Nederland geldt deze al sinds 2016.

Met de AVG wordt voor ‘heel Europa’ de verplichting ingevoerd om een datalek te melden aan de AP en, in bepaalde gevallen, om getroffen personen te informeren over het lek. De AVG stelt wel strengere eisen aan de registratie van de datalekken in een organisatie dan de Wbp.


Meldplicht: wat behelst het?

De verantwoordelijke is verplicht een inbreuk aan de AP, en in bepaalde gevallen aan betrokkenen te melden. Bij melding aan de AP kan de verantwoordelijke ook advies inwinnen over de vraag of de getroffen personen moeten worden geïnformeerd.

Uit de beschikbare informatie over het datalek bij Achmea blijk vooralsnog niet of de AP heeft geadviseerd. Op twitter laat de AP weten:


“De AP kan bevestigen dat @achmea dit datalek heeft gemeld. Over de inhoud van de melding en eventuele vervolgstappen kunnen wij niets zeggen, dat is vertrouwelijk.”


Melden aan betrokkenen

Bij de verplichting te melden aan betrokkenen gaat het bij Achmea mis, volgens bepaalde media. Zo valt te lezen dat het lek lijkt te liggen bij een Achmea medewerker in Apeldoorn. Hoewel de toedracht voor het datalek onduidelijk is, krijgt Achmea medio augustus hiervan weet. Vervolgens is de AP op de hoogte gesteld van het datalek.


Mogelijke gevolgen inbreuk voor persoonsgegevens

Een inbreuk kan diverse aanzienlijke negatieve gevolgen voor personen hebben, wat kan leiden tot lichamelijke, materiële of immateriële schade. Dit kan o.a. inhouden:

× verlies van controle over hun persoonsgegevens,

× de beperking van hun rechten,

× discriminatie,

× identiteitsdiefstal of -fraude,

× financiële verliezen,

× ongeoorloofde ongedaanmaking van pseudonimisering,

× reputatieschade,

× verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens,

× of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de personen in kwestie.


De verantwoordelijke is verplicht een inbreuk aan de bevoegde toezichthoudende autoriteit te melden, tenzij het onwaarschijnlijk is dat de inbreuk zal leiden tot het risico dat dergelijke nadelige effecten zich voordoen. Wanneer het risico dat deze nadelige gevolgen zich voordoen waarschijnlijk groot is, is de verwerkingsverantwoordelijke verplicht om de inbreuk zo snel als redelijkerwijs haalbaar is aan de getroffen personen mee te delen.


Achmea zal hebben moeten beoordelen of en zo ja welke negatieve gevolgen het datalek voor hun klanten zou hebben. Uit voornoemde media blijkt dat Achmea klaarblijkelijk het datalek niet in de openbaarheid wilde brengen omdat het er vanuit ging dat de gegevens niet verder verspreid gingen worden en omdat er een specifieke medewerker bij betrokken is, wat het privacygevoelig zou maken.


Er heeft dus wel degelijk een belangafweging plaatsgevonden. En Achmea is tot het oordeel gekomen dat niet hoefde te worden gemeld.


Doel van meldplicht datalekken

De meldplicht is vooral gericht zijn op de bescherming van personen en hun persoonsgegevens.

En het doel van melding van inbreuken is tweeledig:

(1) ter verbetering van naleving van de regels ter bescherming van persoonsgegevens;

(2) niet melden van een inbreuk aan een natuurlijk persoon of de AP kan mogelijk een sanctie op de verwerkingsverantwoordelijke tot gevolg hebben.


Wel of niet melden?

Ik hoor steeds vaker dat een verantwoordelijke – na weging van alle belangen – besluit om een datalek niet te melden aan AP of betrokkenen. De reden is tweeledig. Ten eerste omdat – nadat het lek is gedicht – de verantwoordelijke tot de conclusie komt dat er geen ernstige gevolgen zijn voor de rechten en vrijheden van natuurlijke personen zijn of dat het onwaarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van natuurlijke personen inhoudt. Een tweede reden is reputatieschade. Men acht de ‘pakkans’ nog steeds klein en weegt het risico voor de rechten en vrijheden van natuurlijke personen af tegen de eigen reputatieschade. En dat is jammer. Het zou goed zijn af te komen van het stigma van het datalek. Zodat we van elkaar kunnen leren hoe het te voorkomen.



14 keer bekeken

© 2018 by Human scale law.

  • LinkedIn Social Icon
  • Twitter Social Icon