Sinds 1 januari 2016 geldt de meldplicht datalekken. Dit vraagt om een zorgvuldig opgezette communicatiestrategie richting slachtoffers in geval van een datalek.
Hoe richt je als organisatie in het veiligheidsdomein de communicatie in na een datalek?
Sinds 1 januari 2016 is in Nederland de meldplicht datalekken van kracht. Dit betekent dat organisaties die persoonsgegevens verwerken in bepaalde gevallen een datalek moeten melden aan de Autoriteit Persoonsgegevens (AP) en aan betrokkenen (de personen op wie de gegevens betrekking hebben). Een melding aan betrokkenen is alleen nodig wanneer deze mogelijk ongunstige gevolgen ondervinden. Maar hoe bepaal je als organisatie of hiervan sprake is en wat meld je precies? Het doen van een melding aan betrokkenen vraagt om grote zorgvuldigheid, misschien nog wel het meest van overheidsinstanties die een vertrouwensrelatie hebben met de burger. Denk aan de politie die veel persoonsgegevens van burgers verwerkt en waarbij vertrouwen van die burger van groot belang is. Om te voorkomen dat het vertrouwen van burgers in de overheid een deuk oploopt, is het van belang om de communicatie naar betrokkenen rondom een eventueel datalek goed in te richten.
De meldplicht datalekken is een wijziging van de Wet bescherming persoonsgegevens (Wbp). In de Wbp zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. Het doel van het instellen van een meldplicht is om de gevolgen van een eventueel datalek voor de betrokkenen zoveel mogelijk te beperken en draagt daarmee bij aan het in stand houden of herstellen van de vertrouwensrelatie tussen de organisatie en de betrokkenen. De meldplicht houdt in dat organisaties (zowel bedrijven als overheden) binnen 72 uur een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Wanneer betrokkenen mogelijk ongunstige gevolgen ondervinden van het lek moet ook aan hen een melding worden gedaan. In de eerste drie maanden van dit jaar kreeg de AP 1000 meldingen van een datalek binnen1. Bij al deze meldingen hebben organisaties ook de afweging moeten maken om een melding bij betrokkenen te doen. Het is onduidelijk in hoeveel gevallen hiervan ook daadwerkelijk sprake is geweest.
Organisaties in het veiligheidsdomein werken veelvuldig met grote hoeveelheden (gevoelige) persoonsgegevens. De politie werkt bijvoorbeeld dagelijks met getuigenverklaringen. Als deze getuigenverklaringen worden gelezen door een onbevoegd persoon, bijvoorbeeld de dader van het misdrijf, of verloren gaan, dan kunnen daar nadelige consequenties aanzitten voor de getuigen. In het laatste geval zullen zij wellicht nogmaals hun verhaal moeten vertellen. Andere voorbeelden van organisaties in het veiligheidsdomein die veel met gevoelige persoonsgegevens werken zijn penitentiaire inrichtingen (strafrechtelijke en medische gegevens), rechtbanken, advocatenkantoren (dossiers) en Veilig Thuis. Door het gevoelige karakter van de gegevens in het veiligheidsdomein kunnen de gevolgen voor betrokkenen groot zijn bij een datalek. Daarom is het juist in het veiligheidsdomein van belang om persoonsgegevens zo goed mogelijk te beschermen en adequaat op te treden als zich toch, onverhoopt, een datalek voordoet. Adequaat optreden betekent vooral dat organisaties transparant zijn richting betrokkenen door deze indien nodig zorgvuldig inlichten. Binnen het veiligheidsdomein zijn datalekken echter extra complex. Mogelijk zijn er zwaarwegende belangen om de betrokkenen niet in te lichten. Indien het gaat om de bescherming van de betrokkenen, kan hiertoe worden besloten. Dit is bijvoorbeeld het geval als gegevens zijn gelekt over kinderen die melding hebben gedaan van mishandeling door een ouder. Normaal gesproken zouden de ouders op de hoogte moeten worden gesteld, maar dat is in dit geval niet wenselijk. In dergelijke situaties kan om zwaarwegende redenen van een melding worden afgezien.
Een datalek houdt in dat bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of een mogelijke onrechtmatige verwerking van persoonsgegevens heeft plaatsgevonden (verwerken is elke handeling met persoonsgegevens zoals lezen, kopiëren, veranderen, verwijderen of vernietigen). Van een beveiligingsincident is sprake als de mogelijkheid bestaat dat de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatieverwerkende systemen in gevaar is, of kan komen. Gegevens kunnen bijvoorbeeld niet meer beschikbaar zijn (door brand of vernietiging) of de gegevens kunnen op een andere manier verloren zijn gegaan zonder dat een actuele reservekopie beschikbaar is. Van een onrechtmatige verwerking is bijvoorbeeld sprake wanneer personen toegang tot informatie hebben gekregen, terwijl zij hier geen toegang toe zouden mogen hebben. Hoe goed de maatregelen ook zijn die een organisatie treft om een datalek te voorkomen, het geheel uitsluiten van een datalek is onmogelijk. Daarom moeten organisaties een proces inrichten (van het identificeren tot het afhandelen van een datalek), zodat een (potentieel) datalek zorgvuldig en efficiënt kan worden afgehandeld.
Zoals eerder vermeld is het doel van de meldplicht datalekken om de negatieve gevolgen van een datalek voor betrokkenen te beperken (denk aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie). Het inlichten van betrokkenen stelt hen namelijk in staat om alert te zijn op de mogelijke gevolgen van het datalek én om zichzelf daar, zo veel als mogelijk, tegen te beschermen. Een datalek moet worden gemeld aan betrokkenen wanneer het datalek met grote waarschijnlijkheid ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer. Maar wanneer is dit het geval? Om hiervoor tot een goede afweging te komen, zijn twee vragen van belang: Bieden de technische beschermingsmaatregelen aan de hand van de huidige security-normen voldoende bescherming? Het gaat hier met name om de mate waarin de gegevens ontoegankelijk of onbegrijpelijk zijn voor personen die geen toegang zouden mogen hebben tot de gegevens. Wanneer bijvoorbeeld gegevens zijn versleuteld door cryptografie (encryptie of hashing) of als bepaalde andere technische beschermingsmaatregelen zijn genomen (zoals remote wiping of het pseudonimiseren van gegevens) kan worden geconcludeerd dat er voldoende beschermingsmaatregelen zijn genomen. Het is dan wel van belang dat de maatregelen voldoen aan de laatste normen op het gebied van technische bescherming. Zal het datalek naar grote waarschijnlijkheid ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkenen? Deze vraag is niet altijd gemakkelijk te beantwoorden. De wet geeft aan dat sprake is van ongunstige gevolgen indien de betrokkenen materiële of immateriële schade kunnen ondervinden. Het is vervolgens aan de organisatie waar het datalek heeft plaatsgevonden om te beoordelen of hier sprake van is. Per geval moet op basis van de omstandigheden een afweging worden gemaakt. Een factor die bijvoorbeeld van belang is, zijn het soort gegevens die zijn gelekt. Wanneer gevoelige persoonsgegevens zijn gelekt, zoals iemands ras (bijvoorbeeld af te leiden uit een paspoortfoto), politieke voorkeur, gezondheid of strafrechtelijk verleden, is er altijd sprake van ongunstige gevolgen voor de betrokken en moet altijd een melding aan betrokkenen worden gedaan.
Het is aan te bevelen dat elke organisatie een communicatiestrategie opstelt. Daar kan en moet nu al over worden nagedacht. Een communicatiestrategie bestaat uit drie onderdelen: hoe gaan we communiceren, wat gaan we communiceren en wie gaat het communiceren? De wet stelt enkel inhoudelijke eisen aan de communicatie richting betrokkenen. Hoe de communicatie in te richten, wie communiceert en welke kanalen worden gebruikt, is vrij te bepalen.
Hoe communiceren?
Allereerst moet inzichtelijk worden gemaakt welke communicatiekanalen en-middelen beschikbaar zijn om betrokkenen te kunnen bereiken. Daarbij dient rekening te worden gehouden met de verschillende doelgroepen waarvan de organisatie persoonsgegevens verwerkt. Het valt bijvoorbeeld in te denken dat ouderen op een andere manier te bereiken zijn dan jongeren. Sommige ouderen hebben misschien geen e-mail en moeten in dat geval via een brief of per telefoon op de hoogte worden gebracht. Daarnaast is het aan te bevelen om in ieder geval een tweetal voorbereidingen te treffen. Ten eerste een overzicht opstellen waar persoonsgegevens zijn opgeslagen: in systemen, papieren dossiers of op externe gegevensdragers. Hierdoor kan direct worden nagegaan welke persoonsgegevens mogelijk verloren zijn gegaan wanneer zich een datalek voordoet. Ten tweede is het aan te raden om een datalekclassificatie op te stellen. Dit kan bijvoorbeeld op basis van aan wie de melding moet worden gedaan: uitsluitend aan de AP, aan de AP en aan betrokkenen of geen enkele melding. Aan elk niveau kan een team worden gekoppeld dat snel in actie komt bij een datalek. Door deze preventieve acties te nemen hoeft de communicatiestrategie bij een datalek alleen nog te worden aangepast aan de specifieke situatie van dat moment.
Wat communiceren?
Wanneer zich een datalek voordoet, en dat zit in een klein hoekje, moet snel, efficiënt en effectief worden gehandeld om (reputatie-) schade zoveel mogelijk te beperken en de vertrouwensrelatie te behouden of te herstellen. Daarom is het van belang om al bij voorbaat te hebben nagedacht over een zorgvuldige communicatiestrategie (hoe, wat en wie?) richting betrokkenen. Dit geldt vooral voor organisaties binnen het veiligheidsdomein, vanwege het zeer gevoelige karakter van de persoonsgegevens die zij verwerken.