Als persoonsgegevens per ongeluk verloren gaan of toegankelijk zijn voor iemand die daartoe niet is gerechtigd, is sprake van een datalek. Dit kan voor de Autoriteit Persoonsgegevens (AP) reden zijn een boete op te leggen.
Het boetebeleid van de AP bij datalekken
Niet ieder datalek leidt tot een boete. Dat is onder meer afhankelijk van de mate van verwijtbaarheid en de snelheid van handelen. Als de organisatie kan aantonen adequaat te hebben gehandeld en alle stappen te hebben gezet om de kans op een datalek zo klein mogelijk te houden, zal de AP niet snel tot het opleggen van een boete overgaan. Maar blijkt dat de organisatie haar zaken niet op orde heeft, bijvoorbeeld omdat de beveiliging onvoldoende is of als een datalek niet of niet tijdig wordt gemeld, dan kan een boete worden verwacht.
Voorbeelden van verwijtbaar handelen met een boete tot gevolg
In de volgende zaken oordeelde de AP dat er reden was een boete op te leggen.
Een afdeling van een politieke partij verstuurde een e-mail, met een groot aantal personen in de cc. De e-mailadressen van die personen waren dus zichtbaar in de verzendlijst, ze hadden in de bcc moeten worden meegenomen. Omdat hierover een klacht werd ingediend bij de AP, kwam de toezichthouder erachter dat geen melding van dit datalek was gedaan. Om die reden en vanwege het feit dat de inhoud van de e-mail politieke standpunten bevatte, legde de AP een boete van € 7.500,- op.
Een boekingssite was 22 dagen te laat met het melden van een datalek, nadat een onbekende derde toegang had verkregen tot het reserveringssysteem. Het bleek dat deze derde gegevens van meer dan 4.000 gebruikers heeft ingezien, waaronder de creditcardgegevens van 283 personen. De boekingssite krijgt voor het te laat melden een boete van € 475.000,-.
Een vliegtuigmaatschappij krijgt een boete van € 400.000,- omdat een datalek is ontstaan door onvoldoende beveiliging. Er werd geen gebruik gemaakt van tweefactor-authenticatie en het wachtwoord dat werd gebruikt, was vrij eenvoudig te raden. Verder kon met één account toegang worden verkregen tot het gehele netwerk.
Conclusie
Niet ieder datalek leidt tot een boete. De meldingsplicht, de mate van verwijtbaarheid en de gevoeligheid van de gegevens spelen daarbij een grote rol. Als er bijzondere persoonsgegevens, bijvoorbeeld informatie over iemand gezondheid, politieke opvattingen, religieuze overtuiging of seksuele geaardheid, toegankelijk worden voor onbevoegde derden, dient een datalek altijd te worden gemeld. Die melding dient binnen 72 uur plaats te vinden. Het niet of te laat melden van een datalek kan tot een boete leiden. Als een organisatie geen passende technische en organisatorische maatregelen heeft getroffen om de persoonsgegevens te beschermen, met een datalek tot gevolg, kan dit ook tot een forse boete van de AP leiden.