033 200 30 83
Of een beveiligingsincident een ‘meldingsplichtig datalek’ betreft, is soms een lastige afweging. Het criterium is: het beveiligingsincident moet gemeld worden, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoud voor de rechten en vrijheden van natuurlijke personen.
Soms is het lastig te bepalen of een beveiligingsincident waarbij persoonsgegevens zijn betrokken een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Degenen die te maken hebben met deze incidenten kennen wel de dilemma’s. Bijvoorbeeld.
Een lijst met deelnemers aan een cursus Juridisch Engels die 5 dagen in een hotel plaatsvindt, is per ongeluk verzonden naar 15 oud-deelnemers van de cursus in plaats van het hotel. De lijst bevat namen, e-mail adressen en eetvoorkeuren van de 15 deelnemers. Slechts twee deelnemers hebben hun voedselvoorkeuren, waarin staat dat ze lactose-intolerant zijn. De verwerkingsverantwoordelijke ontdekt de fout onmiddellijk na het verzenden van de lijst en informeert de ontvangers van de fout en vraagt hen de lijst te verwijderen.
De vraag is: moet je dat dan melden aan de Autoriteit Persoonsgegevens en de betrokkenen?
De European Data Protection Board (EDPB; hierin participeren de toezichthouders op het gebied van privacy van alle lidstaten) heeft op 3 januari 2022 richtlijnen gepubliceerd om te helpen bij het maken van dit soort afwegingen.
De EDPB maakt de volgende afweging:
- wel registreren in het (interne) incidentenregister.
- er is geen melding nodig richting de toezichthouder en
- er is geen melding nodig aan de betrokkenen.
De EDPB motiveert dit als volgt.
De risico's die voortvloeien uit de aard, de gevoeligheid, het volume en de context van de persoonsgegevens zijn laag. De persoonsgegevens omvatten gevoelige gegevens over voedselvoorkeuren van twee van de deelnemers. De informatie dat iemand lactose-intolerant is betreft gezondheidsgegevens. Echter: het risico dat deze gegevens worden gebruikt op een manier die nadelig is voor betrokkene moet als relatief laag worden beschouwd. Terwijl het in het geval van gegevens over gezondheid meestal aangenomen wordt dat de inbreuk waarschijnlijk een hoog risico met zich meebrengt voor de betrokkene. In dit specifieke geval is er geen risico dat de inbreuk zal leiden tot fysieke, materiële of immateriële schade van de betrokkene als gevolg van de ongeoorloofde openbaarmaking van informatie over lactose-intolerantie. In tegenstelling tot sommige andere voedselvoorkeuren, kan lactose-intolerantie normaal gesproken niet worden gekoppeld aan religieuze of filosofische overtuigingen. Bovendien is de hoeveelheid van de geschonden gegevens en het aantal betrokken betrokkenen erg laag.
Dit staat beschreven in voorbeeld 14 van de richtlijn.
Het is aan te bevelen om deze richtlijn te raadplegen als je te maken hebt met datalekken. Er worden in totaal 18 voorbeelden uitgebreid behandeld.
