SPECIAL CYBERRISICO’S – Artikel 3: De AVG-aspecten bij een cyberaanval

Dit artikel is op 18 november 2022 gepubliceerd door VAST, 2022 / P-040, Ruben Krul en Femmie Schets, e-ISSN 2667-307X, M.A.D.Lex.

———-

Een cyberaanval, zoals een Denial of Service-aanval of ransomware-aanval, kan leiden tot een inbreuk in verband met persoonsgegevens. Dit wordt in de praktijk ook wel een datalek genoemd. Dat een cyberaanval plaatsvindt is al vervelend genoeg voor een organisatie, maar het brengt vaak ook nog allerlei vraagstukken met zich mee, zoals wanneer is nu sprake van een datalek bij een cyberaanval, wat moet er gebeuren op het moment dat een datalek heeft plaatsgevonden door een cyberaanval, op welke manier kan een datalek door een cyberaanval worden voorkomen en hoe kunnen de gevolgen daarvan worden geminimaliseerd? De antwoorden op deze vragen zullen worden behandeld in deze bijdrage, waarbij de cyberaanval wordt bekeken vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG).

Aan de hand van een fictieve casus komt het wettelijk kader van de AVG^[1] aan bod en worden er praktische tips gegeven hoe te handelen bij een datalek. De geschetste casus kent enkele variaties die in deze bijdrage zullen worden toegelicht om zo de verschillende kanten van cybersecurity en cyberaanvallen uiteen te zetten. Wij focussen ons daarbij op de nationale situatie.

Fictieve casus^[2]

Een productiebedrijf van handgemaakte tassen met 25 werknemers wordt getroffen door een ransomware-aanval doordat een onoplettende werknemer een bestand van internet heeft gedownload waar ransomware in besloten zit. Alle systemen zijn versleuteld. Hierdoor kan het bedrijf niet meer bij de bestanden en gegevens, waaronder de personeelsdossiers, bestellingen en overige klantgegevens. Gelukkig zijn de gegevens onleesbaar voor de aanvaller omdat het bedrijf de gegevens op een geavanceerde manier geëncrypt heeft. Hierdoor zijn de gegevens alleen leesbaar als ze gedecodeerd zijn. Bij de aanval is de decoderingssleutel niet gekraakt door de aanvaller. De aanvaller had dus alleen toegang tot de versleutelde persoonsgegevens.

Uit de aanwezige logbestanden blijkt dat er geen exfiltratie van de gegevens had plaatsgevonden. Dit betekent dat er geen gegevens uit de systemen van het productiebedrijf zijn gehaald en dus niet in handen zijn gekomen van de aanvaller. De gegevens zijn ‘slechts’ versleuteld. Het bedrijf had helaas geen back-up, waardoor de gegevens niet zomaar teruggehaald kunnen worden. Alle gegevens zullen opnieuw verzameld moeten worden en bestellingen moeten opnieuw worden geplaatst. Gevolg kan zijn dat werknemers voorlopig niet betaald worden en klanten hun spullen met flinke vertraging krijgen of zelfs helemaal niet.

In deze casus is sprake van een zogenoemde cyberaanval. Een cyberaanval is een aanval op de digitale systemen van een organisatie, zoals een gemeente, ziekenhuis, ministerie, kerk of een onderneming. Het Nationaal Cyber Security Centrum onderscheidt vier soorten cyberaanvallen:[3]

1. Distributed) Denial of Service-aanvallen (DDoS), waarmee een digitale dienst, zoals een website of een server, overladen wordt met verzoeken van meerdere computers. Hierdoor kan deze dienst het verkeer niet meer aan en crasht het.
2. Malware, oftewel virussen, waarmee informatie gestolen kan worden van digitale systemen of waarmee functionaliteiten van die systemen verstoord kunnen worden.
3. Phishing, waarmee een kwaadwillende zich voordoet als een ander met als doel gevoelige informatie te verkrijgen.
4. Ransomware, waarmee digitale systemen versleuteld worden totdat een geldbedrag is betaald.

Cyberaanvallen zijn een grote bron van ‘datalekken’. Waar de AVG het heeft over een ‘inbreuk in verband met de persoonsgegevens’[4], wordt dit in de praktijk een datalek genoemd. Het aantal datalekken in 2021 dat veroorzaakt werd door cyberaanvallen was met 88 % gestegen ten opzichte van 2020, waardoor cyberaanvallen verantwoordelijk waren voor ruim 9 % van alle datalekken in Nederland[5]. De verwachting is bovendien dat dit percentage de komende jaren zal stijgen.

Kortom, genoeg redenen om uiteen te zetten wat het juridische kader is omtrent cyberrisico’s en cybersecurity: welke verplichtingen gelden er op grond van de AVG met betrekking tot cybersecurity? Wat moet er gedaan worden wanneer er sprake is van een cyberaanval en wat zijn de mogelijke gevolgen? Deze vragen zullen worden behandeld in dit praktijkartikel.

Wettelijk kader beveiligingsmaatregelen onder de AVG

Wanneer een cyberaanval plaatsvindt, moet allereerst nagegaan worden of de AVG van toepassing is. De AVG is van toepassing op “de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”[6] Een verwerking ziet op iedere handeling met persoonsgegevens: van het verzamelen en vastleggen tot het bijwerken en verwijderen.[7] Persoonsgegevens worden gedefinieerd als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.”[8]

In de geschetste casus zijn onder meer het digitale personeelsdossier en het klantsysteem ontoegankelijk geworden door de ransomware-aanval. De personeelsdossiers bevatten veel persoonsgegevens van werknemers van het productiebedrijf, zoals hoogstwaarschijnlijk: de NAW-gegevens, het BSN, een kopie van een identiteitsbewijs, financiële gegevens, verzuimgegevens en beoordelingsverslagen. Ook het klantsysteem bevat veel persoonsgegevens, waaronder NAW-gegevens, financiële gegevens en bestellingen van klanten. Dit zijn allemaal persoonsgegevens die – al dan niet geheel of gedeeltelijk geautomatiseerd – opgeslagen zijn en gebruikt worden door het productiebedrijf. Het opslaan en gebruiken van deze persoonsgegevens zijn verwerkingsactiviteiten in de zin van de AVG.

 

a. Passend beveiligingsniveau

De AVG legt aan een verwerkingsverantwoordelijke – de partij die het doel en de middelen van de verwerking vastlegt en daarmee verantwoordelijk is voor de verwerking van die persoonsgegevens – en een verwerker – de partij die ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt – de verplichting op om persoonsgegevens integer en vertrouwelijk te behandelen. Dit houdt in dat de verwerkingsverantwoordelijke ‘passende’ technische en organisatorische maatregelen moet nemen om persoonsgegevens te beschermen tegen ongeoorloofde of onbevoegde verwerkingen en tegen (on)opzettelijk verlies, vernietiging of beschadiging van de persoonsgegevens.[9]

In de fictieve casus is het productiebedrijf de verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens van haar klanten en werknemers. Het bedrijf heeft namelijk vastgesteld waarom de persoonsgegevens van de klanten en werknemers verwerkt worden en hoe die verwerking plaatsvindt.[10] Het bedrijf verwerkt bijvoorbeeld contactgegevens van klanten om contact te onderhouden en de adresgegevens om bestellingen te kunnen leveren. Daarnaast verwerkt het bedrijf van haar werknemers bijvoorbeeld financiële gegevens omdat het bedrijf de werknemers moet betalen. Het bedrijf heeft bovendien vastgesteld welke persoonsgegevens voor die doeleinden moeten worden verzameld, voor welke periode de gegevens moeten worden opgeslagen en welke systemen daarvoor worden gebruikt. Daarmee heeft het bedrijf belangrijke en wezenlijke invloed uitgeoefend op het ‘hoe’ en het ‘waarom’ van de gegevensverwerkingen, en daarmee is het bedrijf de verwerkingsverantwoordelijke.

In veel gevallen maakt de verwerkingsverantwoordelijke ook gebruik van een verwerker. Zoals hiervoor aangegeven is de verwerker een (rechts)persoon of organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerker mag deze persoonsgegevens alleen verwerken volgens de instructies van de verwerkingsverantwoordelijke en mag de persoonsgegevens niet voor eigen doeleinden gebruiken. De verwerker heeft wel enige keuzevrijheid over de manier waarop de belangen van de verwerkingsverantwoordelijke behartigd worden. Zo zal de verwerker in de regel de meest geschikte technische middelen kiezen voor de verwerking, simpelweg omdat een verwerker daartoe de benodigde kennis heeft. De afspraken over de verwerking (waaronder ook begrepen de afspraken ten aanzien van de beveiligingsmaatregelen), dienen vervolgens vastgelegd te worden in een verwerkersovereenkomst tussen verwerkingsverantwoordelijke en verwerker.

Artikel 32 AVG vult vervolgens het beginsel van een integere en vertrouwelijke verwerking nader in en bepaalt dat verwerkingsverantwoordelijken en verwerkers passende technische en organisatorische maatregelen moeten nemen om ten aanzien van de persoonsgegevens een op het risico afgestemd beveiligingsniveau te waarborgen.

Welke maatregelen als ‘passend’ worden beschouwd, wordt in de AVG niet toegelicht. De vraag welke beveiligingsmaatregelen genomen moeten worden, hangt in ieder geval af van welke soort persoonsgegevens worden verwerkt en wat de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen zijn als die persoonsgegevens in verkeerde handen zouden komen of niet beschikbaar zouden zijn.[11] De risico’s voor de rechten en vrijheden van personen zouden bijvoorbeeld kunnen zijn gevaar op identiteitsfraude, discriminatie, schade voor de gezondheid, spam of phishing. Het in kaart brengen van deze risico’s kan gedaan worden door middel van een Data Protection Impact Assessment (DPIA).[12] Een DPIA is op grond van artikel 35 AVG zelfs verplicht bij verwerkingen die een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen, bijvoorbeeld wanneer op grote schaal gezondheidsgegevens verwerkt gaan worden of wanneer er sprake is van stelselmatige en grootschalige monitoring in de openbare ruimte. Een DPIA kan ook vrijwillig uitgevoerd worden door de verwerkingsverantwoordelijke om de risico’s van een verwerking in kaart te brengen en aan de hand daarvan de specifieke beveiligingsmaatregelen te kunnen vaststellen. Daarnaast moet bij het treffen van de maatregelen rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden.

Het voorgaande brengt mee dat bijvoorbeeld een ziekenhuis meer en stevigere beveiligingsmaatregelen moet treffen dan het productiebedrijf uit de casus. Een ziekenhuis verwerkt namelijk enorme hoeveelheden persoonsgegevens van gevoelige aard. De gegevens zeggen iets over de gezondheid van de betrokken personen en die gegevens zijn te kwalificeren als ‘bijzondere categorieën van persoonsgegevens’, waarvoor op grond van de AVG extra waarborgen gelden.[13] Het uitgangspunt is dat de verwerking van deze bijzondere categorieën van persoonsgegevens verboden is, tenzij wordt voldaan aan een van de strikte en limitatieve voorwaarden uit de AVG.[14] Als deze persoonsgegevens in verkeerde handen zouden vallen of tijdelijk niet beschikbaar zouden zijn, dan zou dit grote gevolgen kunnen hebben voor de betrokken personen. Denk hierbij aan operaties die mogelijk niet door kunnen gaan.

Als dit vergeleken wordt met het productiebedrijf, waar met name contactgegevens, betaalgegevens en persoonsgegevens van werknemers worden verwerkt, dan is het duidelijk dat van een ziekenhuis meer en stevigere beveiligingsmaatregelen verwacht mogen worden. Bovendien is het zo dat voor de vraag welke beveiligingsmaatregelen passend zijn in bepaalde sectoren, zoals ook in de zorgsector, aansluiting is gezocht bij specifieke normen en standaarden. Hierover later meer.

 

b. Vormen van beveiligingsmaatregelen en normen

Beveiligingsmaatregelen kunnen worden onderverdeeld in vier categorieën.[15] Om te beginnen zijn er de organisatorische beveiligingsmaatregelen, zoals het hebben van getraind personeel en een (geschreven) beleid met betrekking tot de toegang tot persoonsgegevens. Ten tweede zijn er de technische beveiligingsmaatregelen. Hierbij kan bijvoorbeeld worden gedacht aan encryptie, het gebruik van een goede virusscanner en het pseudonimiseren of anonimiseren van persoonsgegevens, maar ook het beperkt verlenen van toegangsrechten tot de persoonsgegevens. Als derde kunnen er contractuele beveiligingsmaatregelen worden genomen, zoals geheimhoudingsbedingen in arbeidsovereenkomsten. Tot slot zijn er nog de fysieke beveiligingsmaatregelen. Hierbij kan worden gedacht aan het installeren van goede sloten op deuren en kasten.

Naast deze klassieke vormen van beveiligingsmaatregelen, dient een organisatie ook ‘aan de voorkant’ al maatregelen te treffen in het kader van gegevensbescherming door ontwerp (‘by design’) en door standaardinstellingen (‘by default’).[16] Dit laatste houdt in dat een organisatie er ook voor dient te zorgen dat alleen die (gevoelige) persoonsgegevens worden verzameld die noodzakelijk zijn voor het specifieke doel, en dat gegevens tijdig worden verwijderd wanneer deze niet meer nodig zijn.

Het is aan de verwerkingsverantwoordelijke en verwerker zelf om – al dan niet tezamen in bijvoorbeeld de verwerkersovereenkomst – te bepalen welke maatregelen getroffen moeten worden, zo lang deze maar voldoende en passend zijn. Dit is overigens niet altijd alleen toebedeeld aan de verwerkingsverantwoordelijke en verwerker. In enkele wetten is vastgelegd aan welke beveiligingseisen een onderneming moet voldoen. Zo is de NIS 1-richtlijn gericht op essentiële bedrijven, zoals energiebedrijven, vervoersbedrijven, banken en drinkwaterbedrijven.^[17] Deze richtlijn stelt bepaalde beveiligingseisen aan (de bedrijfsvoering) van deze bedrijven, zodat de kans op cybersecurity incidenten geminimaliseerd wordt en de dienstverlening van deze bedrijven niet in gevaar komt. Bovendien is het de verwachting dat in 2024 de NIS 2-richtlijn van kracht wordt, die de groep essentiële bedrijven uitbreidt, zodat bepaalde publieke instellingen er ook onder zullen vallen.^[18]

Daarnaast heeft de Europese Commissie een nieuw wetsvoorstel gedaan waarmee cybersecuritymaatregelen gestandaardiseerd worden: de Cyber Resilience Act.^[19] In deze verordening worden strengere eisen gesteld aan de beveiliging van producten met digitale elementen. Hieronder vallen vrijwel alle software- en hardware producten met een mogelijkheid tot het verwerken van gegevens, zoals beveiligingscamera’s en Internet-of-Thingsapparatuur. Deze Europese verordening ziet met name op de beveiliging van bepaalde producten en heeft een ruimer toepassingsbereik dan ‘essentiële diensten’, zoals in de NIS-richtlijnen. Bovendien is een verordening – anders dan een richtlijn die door de Europese lidstaten moet worden geïmplementeerd in het nationale recht – rechtstreeks van toepassing. Dit brengt mee dat burgers zich rechtstreeks kunnen beroepen op de rechten die voortvloeien uit de verordening.

In de praktijk zijn bovendien meerdere standaarden en normen ontwikkeld op basis waarvan de beveiligingsmaatregelen nader ingevuld kunnen worden. Een bekende norm is de ISO 27001 norm. Dit is een wereldwijd erkende norm voor informatiebeveiliging. In deze norm staan maatregelen beschreven waarmee tot een passend beveiligingsniveau kan worden gekomen. Andere bekende normen zijn de NEN 7510, NEN 7512 en NEN 7513, die gebaseerd zijn op de ISO 27001, maar die specifiek zijn bedoeld voor informatiebeveiliging in de zorg. In de wetgeving is zelfs bepaald dat in veel gevallen in de zorg overeenkomstig de NEN-normen moet worden gewerkt.[20] Ook de Autoriteit Persoonsgegevens (AP) heeft benadrukt in haar boetebesluiten dat de NEN 7510-norm zeer van belang is onder het AVG-regime en dat deze normen gevolgd moeten worden door verwerkingsverantwoordelijken en verwerkers in de zorgsector.^[21]

 

c. Toepassing op de casus

In de fictieve casus zijn enkele maatregelen getroffen om cyberaanvallen te voorkomen of de impact daarvan te minimaliseren. Zo maakt het productiebedrijf gebruik van goede encryptie van de gegevens. Door deze encryptie zijn de bestanden voor anderen onleesbaar, tenzij die ander beschikt over de decoderingssleutel. Deze decoderingssleutel is niet gekraakt in dit voorbeeld. Ondanks dat alle bestanden door de ransomware versleuteld zijn, kan de aanvaller niets met de gegevens nu hij de gegevens niet kan lezen zonder decoderingssleutel. Hiermee wordt de impact van een cyberaanval sterk verminderd. Een andere maatregel die het bedrijf heeft genomen, is het installeren van logging-software. Hiermee kan precies worden nagegaan wie toegang heeft gehad tot de gegevens en wat er met die gegevens is gebeurd. Ook dit helpt het bedrijf om de impact van de ransomware-aanval in kaart te brengen en aan de hand daarvan kunnen vervolgstappen worden genomen om (verdere) gevolgen te beperken.

Er kunnen echter ook tekortkomingen in de beveiligingsmaatregelen van het productiebedrijf worden gesignaleerd. Zo heeft een werknemer een bestand gedownload waarin ransomware besloten zat. Dit kan erop duiden dat de werknemer niet goed getraind is in het herkennen van gevaren bij het downloaden van bestanden of bij het klikken op links uit verdachte e-mails. Bovendien had de werknemer blijkbaar dusdanig brede toegangsrechten dat de ransomware zich snel over de systemen van het bedrijf kon verspreiden. Daarnaast is er geen back-up van de gegevens die snel teruggezet kan worden. Hierdoor liggen de systemen er gedurende een langere tijd uit en zijn de gegevens mogelijk definitief verloren. Als er wel een back-up was geweest, hadden de systemen mogelijk snel hersteld kunnen worden en waren de gegevens niet verloren gegaan.

Dit laat zien dat het zeer belangrijk is om ervoor te zorgen dat de informatiebeveiliging van een onderneming goed op orde is en dat verschillende soorten maatregelen worden genomen, waaronder ook het geven van awareness-trainingen en maken van tijdige en juiste back-ups. Hiermee kan worden voorkomen dat (succesvolle) cyberaanvallen plaatsvinden en kunnen de gevolgen van een cyberaanval mogelijk worden geminimaliseerd.

Een inbreuk op de beveiligingsmaatregelen

De AVG spreekt over een ‘inbreuk in verband met de persoonsgegevens’. Gezien de definitie hiervan ziet deze inbreuk feitelijk op de beveiliging van de persoonsgegevens. Er is namelijk sprake van een inbreuk in verband met persoonsgegevens indien een inbreuk op de beveiliging per ongeluk of op een onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging van of onbevoegde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.[22]

De veelgebruikte term ‘datalek’ is overigens niet helemaal zuiver omdat er niet noodzakelijk data gelekt hoeft te zijn. Een wijziging van gegevens of het verlies van controle over gegevens is namelijk ook een datalek. Desondanks wordt er in de dagelijkse praktijk wel vaak gesproken over een datalek en zullen wij deze term ook blijven hanteren in dit praktijkartikel.

In vier gevallen is sprake van een dergelijk beveiligingslek:[23]

1. Bij de vernietiging van persoonsgegevens. Dit betekent dat de gegevens niet langer bestaan, of niet langer bestaan in een vorm die voor de verwerkingsverantwoordelijke van nut is. In dat geval is er sprake van een inbreuk op de beschikbaarheid van de persoonsgegevens;
2. Bij de beschadiging van persoonsgegevens. Dit betekent dat de persoonsgegevens gewijzigd zijn, gecorrumpeerd of niet langer volledig. In dat geval is er sprake van een inbreuk op de integriteit van de persoonsgegevens;
3. Bij verlies van persoonsgegeven. Dit betekent dat de verwerkingsverantwoordelijke niet langer de controle heeft over de persoonsgegevens of ze niet langer in bezit heeft. Ook in deze situatie is sprake van een inbreuk op de beschikbaarheid van de persoonsgegevens;
4. Bij onbevoegde toegang tot de persoonsgegevens. Dit betekent dat een persoon die geen toegang mag hebben tot de persoonsgegevens, daar wel toegang toe heeft (gehad). In dat geval is sprake van een inbreuk op de vertrouwelijkheid van de persoonsgegevens.

In de fictieve casus is sprake van een inbreuk op de beveiligingsmaatregelen, wat heeft geleid tot een datalek. De casus laat zien dat vanwege het datalek de persoonsgegevens (tijdelijk) niet beschikbaar zijn geweest voor het bedrijf. Andere soorten cyberaanvallen kunnen ook leiden tot datalekken. Een DDoS-aanval kan er ook toe leiden dat de persoonsgegevens niet langer beschikbaar zijn. Ook door phishing en malware (‘exfiltratie’) kunnen persoonsgegevens in verkeerde handen terechtkomen, waardoor de vertrouwelijkheid van de persoonsgegevens wordt aangetast.

 

a. Verplichtingen bij een datalek

Een datalek kan leiden tot materiële of immateriële schade voor personen wiens persoonsgegevens gelekt zijn.^[24] Een voorbeeld hiervan is het geval waarin kopieën van identiteitsbewijzen zijn gestolen door malware, waardoor identiteitsfraude kan plaatsvinden. In de fictieve casus leidt de versleuteling van de personeelsdossiers mogelijk tot betalingsachterstanden van het loon, waardoor werknemers ook financiële schade kunnen leiden.

Om onder meer de schade te beperken, is de AVG opgenomen dat verwerkingsverantwoordelijken verplicht zijn om in bepaalde situaties het datalek te melden aan de toezichthoudende autoriteit – in Nederland de AP – en in bepaalde situaties ook aan de betrokkene(n) wiens persoonsgegevens zijn gelekt.

Meldplicht aan de toezichthoudende autoriteit

De AVG bepaalt wanneer er gemeld moet worden aan de toezichthoudende autoriteit. In beginsel moet ieder datalek gemeld worden bij de toezichthoudende autoriteit, tenzij het “niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.[25] Een risico voor de rechten en vrijheden van personen kan zich uiten in verschillende vormen, zoals verlies van controle over de persoonsgegevens, discriminatie, identiteitsfraude, financiële schade of reputatieschade.[26]

Dit brengt mee dat niet gemeld hoeft te worden aan de toezichthoudende autoriteit wanneer het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen. Een voorbeeld hiervan zou zijn wanneer het rooster van de bardienst van een sportclub naar een persoon wordt gemaild binnen die sportclub, maar de betreffende persoon helemaal niet betrokken is bij de bardienst. Op het rooster zullen weliswaar namen van personen staan, maar het is niet te verwachten dat dit datalek een risico inhoudt voor de rechten en vrijheden van deze personen, mede omdat de mail verstuurd is naar een persoon binnen de sportclub die weet dat betreffende mail niet voor hem of haar bedoeld was. Deze lage risico situaties komen echter niet vaak voor; de drempel om te melden bij de toezichthoudende autoriteit is namelijk laag.

In de fictieve casus zou wel gemeld moeten worden. Omdat er geen back-up aanwezig is en de persoonsgegevens daarom niet eenvoudig hersteld kunnen worden, is het waarschijnlijk dat het datalek risico’s inhoudt voor de rechten en vrijheden van de betrokkenen. De werknemers kunnen niet worden betaald en de klanten krijgen hun producten niet. Dit datalek leidt daarom mogelijk tot financiële en materiële schade bij de betrokkenen.

Meldplicht aan de betrokkene(n)

In sommige situaties zal de verwerkingsverantwoordelijke het datalek óók moeten melden aan de betrokkene. Dit is het geval wanneer het datalek “waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.”[27] Dit is daarmee een hogere drempel dan voor het melden van een datalek bij de toezichthoudende autoriteit.

Of sprake is van een risico of een hoog risico voor de rechten en vrijheden van de betrokkene, is dus relevant voor de meldplicht. Bij het constateren van het datalek zal dan ook onmiddellijk een ‘high-pressure privacy impact assessment (PIA)’ moeten worden uitgevoerd, waarbij de risico’s beoordeeld moeten worden aan de hand van de omstandigheden van het datalek, zoals de aard van het lek, de aard van de persoonsgegevens, de aard van de betrokkenen wiens persoonsgegevens gelekt zijn, de mogelijke gevolgen van het datalek voor de betrokkenen, het aantal getroffen personen en de aard van de (onderneming van de) verwerkingsverantwoordelijke.[28]

Doorgaans is sprake van een hoog risico wanneer een inbreuk kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokkene, zoals discriminatie, identiteitsfraude of financieel verlies.[29] Indien de gelekte gegevens bijzondere categorieën persoonsgegevens betreffen, zoals gegevens over etnische afkomst, gezondheid of politieke opvattingen, dan moet dergelijke lichamelijke, materiële of immateriële schade als waarschijnlijk worden beschouwd.[30]

Termijn meldplicht

De melding bij de AP moet onverwijld worden gedaan en, waar mogelijk, niet meer dan 72 uur – en dit zijn niet slechts kantooruren – nadat de verwerkingsverantwoordelijke kennis heeft gekregen van het datalek. Deze termijn begint te lopen op het moment dat de verwerkingsverantwoordelijke een redelijke mate van zekerheid heeft dat een beveiligingsincident kwalificeert als een inbreuk in verband met de persoonsgegevens, zoals hiervoor toegelicht.

Wanneer de melding niet binnen 72 uur kan worden gerealiseerd, dient in de melding te worden opgenomen waarom sprake is van de vertraging en moet de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt.[31] De melding bij de betrokkene(n) moet onverwijld gebeuren; hetgeen betekent zonder (onredelijke) vertraging of uitstel.[32]

Nieuw meldformulier en een voorlopige melding

Vorig jaar heeft de AP een nieuw meldformulier voor datalekken gepubliceerd. Het nieuwe formulier zou het volgens de autoriteit makkelijker moeten maken om een datalek te melden.[33]

Wanneer een organisatie heeft geconstateerd dat sprake is van een datalek, maar bijvoorbeeld nog aanvullend onderzoek moet doen naar de gevolgen daarvan, dan is het nu eenvoudiger om een voorlopige melding te doen. Bij deze voorlopige melding – en überhaupt tijdens het invullen van het formulier – worden de antwoorden echter al (tijdelijk) opgeslagen op de server van de AP (om technische redenen), hoewel de AP aan heeft gegeven dat de vertrouwelijkheid van die gegevens niet in het geding is.^[34] Indien een organisatie dan uiteindelijk besluit geen definitieve melding te doen (bijvoorbeeld omdat toch blijkt dat het datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen) of een melding in te trekken, dan kan de AP besluiten alsnog een nader onderzoek in te stellen. Ons advies is dan ook om eerst het meldformulier te downloaden in Word – dit is beschikbaar op de website van de AP – en een (voorlopige) melding pas te doen indien een organisatie in ieder geval met een redelijke mate van zekerheid heeft vastgesteld dat een beveiligingsincident kwalificeert als een inbreuk.

Overige verplichtingen

Uiteraard moet een organisatie bij het constateren van een datalek onmiddellijk proberen het lek te stoppen of proberen de gevolgen te minimaliseren door maatregelen te treffen. Hierbij kan onder meer worden gedacht aan het wijzigen van wachtwoorden, het (tijdelijk) afsluiten van bepaalde omgevingen of systemen en het veiligstellen van de back-ups. Ook dient de organisatie binnen die 72 uur een hiervoor beschreven high-pressure PIA uit te voeren om de risico’s van het datalek in kaart te brengen.

Daarnaast moet ieder datalek – of dat nu gemeld is of niet – worden geregistreerd in een datalekregister.[35] In dit register moeten alle datalekken worden vastgelegd die in een organisatie hebben plaatsgevonden, met een toelichting en de genomen maatregelen. Het doel van het register is dat organisaties leren van eerdere incidenten. Ook draagt het hebben van een datalekregister bij aan de verantwoordingsplicht die op grond van de AVG op iedere verwerkingsverantwoordelijke rust.[36]

 

b. Mogelijke gevolgen bij een datalek

Het niet op de correcte wijze omgaan met datalekken – zowel vooraf als achteraf – kan grote gevolgen hebben voor de betrokkenen, maar ook voor de onderneming zelf die getroffen is door een cyberaanval. Een cyberaanval kan namelijk leiden tot sancties, bovenop de schade die al geleden wordt.

Bestuursrechtelijke handhaving

Allereerst is het mogelijk dat de AP bestuursrechtelijk handhaaft. De belangrijkste sancties die de AP tot haar beschikking heeft zijn de bestuurlijke boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.

De AP kan op grond van de AVG een boete opleggen van maximaal 20 miljoen euro of 4 % van de wereldwijde jaaromzet.[37] Op welke manier de hoogte van de boete wordt vastgesteld en welke factoren daar een rol in spelen, wordt uiteengezet in de boetebeleidsregels van de AP.[38] De AP werkt met een basisboete. Elke mogelijke overtreding is ingedeeld in een categorie en aan elke categorie is een boete gekoppeld. Vervolgens kan de basisboete verhoogd of verlaagd worden, afhankelijk van de omstandigheden van het geval. Ook zijn er recent richtsnoeren vastgesteld door de Europese privacywaakhond – de European Data Protection Board (EDPB) – over de berekening van deze administratieve geldboetes.[39]

Bij een datalek kan een boete op meerdere gronden worden opgelegd. Om te beginnen kan een boete worden opgelegd wanneer op voorhand de beveiligingsmaatregelen niet op orde waren. Deze overtreding valt in categorie II van de boetebeleidsregels en hiervoor geldt een basisboete van 310.000 euro. Dit is bijvoorbeeld gebeurd bij het Ministerie van Buitenlandse Zaken.[40] Daar was de beveiliging van het Nationaal Visum Informatie Systeem niet op orde. Hierdoor konden onbevoegde personen dossiers inzien en persoonsgegevens wijzigen. Het ministerie was al langere tijd op de hoogte van de gebrekkige beveiliging en de veiligheidsrisico’s, maar heeft niet snel genoeg de beveiliging op het gewenste niveau gebracht. Het ministerie kreeg daarom een boete van 565.000 euro.

Een boete als gevolg van een overtreding van de AVG kan ook worden opgelegd wanneer een organisatie niet heeft voldaan aan zijn onderzoeks- en meldplicht, bijvoorbeeld omdat er geen onderzoek is uitgevoerd naar aanleiding van een beveiligingsincident (terwijl dat wel had moeten gebeuren) of omdat te laat is gemeld. Dit valt onder categorie III-overtredingen van de boetebeleidsregels van de AP, met een basisboete van 525.000 euro. Zo hebben Booking.com^[41] en PVV Overijssel^[42] een boete gekregen op deze grond. Bij Booking.com werd een datalek te laat gemeld omdat binnen de organisatie niet snel genoeg het (bericht over een) datalek werd doorgezet naar de juiste afdeling. De boete bedroeg 475.000 euro. Bij de PVV Overijssel werd een datalek überhaupt niet gemeld, wat tot een boete leidde van 7.500 euro. Dit is flink lager dan de basisboete, omdat de PVV Overijssel een hogere boete niet zou kunnen betalen.

Civielrechtelijke aansprakelijkheid

Naast deze bestuursrechtelijke handhaving, kan een organisatie ook civielrechtelijk worden aangesproken door slachtoffers van de datalekken. De AVG stelt dat eenieder die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de AVG, het recht heeft om schadevergoeding te ontvangen voor de geleden schade.[43] Een claim tot een schadevergoeding op grond van de AVG kan onder meer worden ingediend bij de civiele rechter of bij geschillencommissies.[44]

Zeer recent nog in een spraakmakende zaak tegen het Bravis ziekenhuis heeft de rechtbank Zeeland-West-Brabant geoordeeld dat het ziekenhuis civielrechtelijk aansprakelijk was op grond van een onrechtmatige daad omdat het ten aanzien van de controle op de logging geen passende beveiligingsmaatregelen had getroffen in de zin van artikel 32 AVG.^[45] Mede gelet op de schending van artikel 32 AVG kende de rechtbank een schadevergoeding toe aan de betrokkene van 2.000 euro.

Daarnaast is het sinds 2020 voor benadeelden op grond van de Wet afwikkeling massaschade in collectieve actie (WAMCA) ook mogelijk om via een belangenorganisatie collectief schade te verhalen. Zo heeft de Stichting ICAM het Ministerie van Volksgezondheid, Welzijn en Sport voor de rechter gedaagd voor het datalek bij de GGD. Ook loopt op dit moment een zaak tegen TikTok op basis van de WAMCA.[46]

Als laatste is het mogelijk dat bijvoorbeeld een verwerker civielrechtelijk wordt aangesproken op grond van de verwerkersovereenkomst. Indien de verwerker op basis van deze overeenkomst bepaalde maatregelen moest treffen om de persoonsgegevens te beschermen en de verwerker dat heeft nagelaten, dan kan eventuele aansprakelijkheid bij ontstane schade door deze nalatigheid mogelijk worden doorgeschoven naar de verwerker. Op deze manier kan een verwerker aansprakelijk worden gesteld voor de schade die de verwerkingsverantwoordelijke heeft geleden als gevolg van een tekortkoming in de nakoming van de verwerkersovereenkomst.

 

c. Een cyberverzekering?

Er zijn tegenwoordig veel mogelijkheden om een cyberverzekering af te sluiten. Daarmee is het mogelijk om het financiële risico bij cyberaanvallen te ondervangen. Hierbij wordt in de meeste gevallen de directe schade gedekt, waaronder begrepen de kosten voor onderzoek en herstel van de systemen, stagnatieschade, kosten voor juridische bijstand en voor het voorkomen of beperken van reputatieschade, diefstal van gegevens, betaling van losgeld en schadeclaims van contractspartijen en derden.[47]

Sommige verzekeringen vergoeden zelfs boetes die zijn opgelegd door de AP. Hierover bestaat wel enige onduidelijkheid. Zo is het verzekeren van boetes niet onomstreden, omdat het in strijd zou kunnen zijn met integriteitsnormen, de goede zeden[48] of de openbare orde. Dit speelt met name bij strafrechtelijke boetes. In geval van AVG-boetes gaat het daarentegen om een bestuursrechtelijke boete, die geen zuiver punitief karakter heeft. Een AVG-boete moet doeltreffend, evenredig en afschrikwekkend zijn en heeft als doel om naleving van de AVG te stimuleren. Zodra een verzekering de verplichtingen uit de AVG niet ondermijnt, wordt vooralsnog aangenomen dat het verzekeren van AVG-boetes toegestaan is.[49]

Een verzekering kan er zelfs voor zorgen dat naleving van de AVG wordt vergroot.[50] De verzekerde heeft immers een zorgplicht om te voorkomen dat er schade ontstaat en verzekeraars willen voorkomen dat zij veel schade moeten vergoeden. Om die reden worden in de polisvoorwaarden vaak dezelfde verplichtingen opgelegd aan verzekerden als de AVG oplegt aan die partijen, en soms zelfs strengere verplichtingen. Deze voorwaarden vullen de beveiligingsplicht dan in zekere mate in. Op deze manier voorkomen verzekeraars dat verzekerden hun AVG-verplichtingen verzaken. Dit zorgt er tegelijkertijd weer voor dat het algemene beveiligingsniveau van Nederlandse organisaties omhoog kan gaan.

Casusvariaties

Om te kunnen beoordelen of een datalek moet worden gemeld en aan wie, zijn de omstandigheden van het geval te allen tijde van belang. Relevante omstandigheden uit de fictieve casus zijn bijvoorbeeld dat de persoonsgegevens op een geavanceerde manier versleuteld zijn, zonder dat de decoderingssleutel is gekraakt. Hierdoor zijn de persoonsgegevens onleesbaar voor de aanvaller en is het dus zeer de vraag of er risico’s zijn voor de getroffen personen.

Andere omstandigheden die ertoe kunnen leiden dat er geen sprake hoeft te zijn van een meldplicht of aansprakelijkheid zijn dat het aantal getroffen personen klein is en dat er geen sprake is van gegevensexfiltratie. Dit zorgt ervoor dat er minder risico’s zijn. Daartegenover staat echter weer dat er geen back-up was en de persoonsgegevens gedurende langere periode niet beschikbaar zijn geweest. Hierdoor zijn salarisbetalingen en leveringen uitgesteld. Met name de uitgestelde salarisbetalingen kunnen in ertoe leiden dat sprake is van een risico of zelfs een hoog risico. Werknemers kunnen bijvoorbeeld in acute betalingsproblemen komen; er is dan een hoog risico op lichamelijke, materiële of immateriële schade. Tegelijkertijd geldt dat wanneer de gegevens hersteld zijn vóór de betalingsperiode van het salaris, dit hoge risico weer onwaarschijnlijk is en er dus wellicht geen meldplicht richting de betrokkenen is.

Om het belang van de omstandigheden van het geval duidelijker naar voren te brengen, wordt de fictieve casus hierna iets aangepast.^[51]

 

a. Casusvariant 1

De gegevens zijn in deze variant niet goed versleuteld waardoor de aanvaller de gegevens kan lezen, waaronder de wachtwoorden van het klantenportaal en de betalingsgegevens. Bovendien zijn er verschillende documenten gelekt, zoals kopieën van identiteitsbewijzen. De gegevens zijn geëxfiltreerd tijdens de aanval nu er niet alleen ransomware, maar ook malware is geïnstalleerd. Dit is een duidelijk voorbeeld van een meldingswaardig datalek bij de toezichthoudende autoriteit én bij de betrokkenen. Met de kopieën van de identiteitsbewijzen kan namelijk identiteitsdiefstal of -fraude plaatsvinden en met financiële gegevens kan materiële schade worden geleden door de getroffen personen.

In de basiscasus was sprake van geavanceerde encryptie van gegevens. Hierdoor waren de gegevens niet leesbaar voor de aanvaller. De aanvaller kan dan feitelijk gezien niets met die gegevens. Dat zorgt er dan voor dat de risico’s van een datalek zodanig verminderd kunnen zijn dat er geen meer meldplicht bestaat. Desalniettemin kan het in deze situatie wel verstandig zijn om slachtoffers op de hoogte te stellen of in ieder geval te vragen – zonder toelichting van het datalek – of zij hun wachtwoorden kunnen veranderen. Zeker gezien het feit dat personen vaak dezelfde wachtwoorden hergebruiken voor verschillende websites.

 

b. Casusvariant 2

Een nieuwe variatie is dat alle eerder beschreven beveiligingsmaatregelen zijn getroffen en dat daarnaast wel een back-up is gemaakt, die niet is aangetast door de ransomware-aanval. Hierdoor kan het bedrijf de gegevens binnen enkele uren herstellen en komen de bedrijfsprocessen en betalingen niet in gevaar. Bestellingen kunnen na een kleine vertraging weer worden afgehandeld en lonen kunnen worden betaald. In deze situatie is er waarschijnlijk geen meldplicht bij de toezichthoudende autoriteit en ook niet bij betrokkenen, omdat het datalek waarschijnlijk geen risico’s inhoudt voor de rechten en vrijheden van betrokkenen. Zou de back-up ook zijn getroffen door de ransomware-aanval, bijvoorbeeld omdat die back-up alleen toegankelijk is vanuit hetzelfde systeem, dan zou het voorgaande niet opgaan nu de gegevens dan toch een (te) lange tijd niet beschikbaar zijn geweest. Dit laat ook zien dat het hebben van een back-up op zichzelf niet voldoende is; de back-up moet juist en volledig zijn en ook niet kunnen worden getroffen als het hoofdsysteem eruit ligt.

 

c. Casusvariant 3

Stel nu dat er geen sprake is van een klein productiebedrijf, maar van een ziekenhuis. Het ziekenhuis heeft een back-up, maar de gegevens zijn geëxfiltreerd. Vanwege de omvang van de back-up duurde het een aantal dagen voordat de back-up kon worden teruggezet. Hierdoor hebben de behandelingen van de patiënten vertraging opgelopen.

In deze situatie moet gemeld worden aan de toezichthoudende autoriteit én aan de betrokkenen. Hoewel er in deze situatie wel sprake is van een goede back-up die relatief snel kon worden teruggezet, had het verlies van controle over de persoonsgegevens grote gevolgen voor de patiënten van het ziekenhuis nu behandelingen moesten worden uitgesteld. Het risico op fysieke schade was daardoor groot. Daarnaast verwerkt een ziekenhuis grote hoeveelheden persoonsgegevens, waaronder gegevens over de gezondheid van die personen. De omvang van het datalek was dus groot. Ook betreffen de getroffen persoonsgegevens bijzondere categorieën persoonsgegevens omdat het gaat om gezondheidsgegevens. Het soort inbreuk en de aard, de gevoeligheid en de omvang van de persoonsgegevens zijn in deze situatie dus van belang waardoor er sprake is van een meldingswaardig datalek.

Aanbevelingen voor de praktijk

Voorkomen is beter dan genezen en het treffen van passende beveiligingsmaatregelen is dan ook uitermate van belang voor organisaties die werken met persoonsgegevens. Immers, cyberaanvallen zijn een opkomende bron van datalekken en het aantal getroffen personen door een cyberaanval kan enorm zijn.

De lessen die kunnen worden getrokken uit de in dit artikel besproken casusvariaties zijn dat de genomen maatregelen ervoor kunnen zorgen dat een datalek voorkomen wordt, óf dat de gevolgen van een datalek geminimaliseerd worden.^[52] Uit de verschillende casusvariaties blijkt dat het hebben van een goede back-up essentieel is. Deze back-up moet wel voldoende up-to-date zijn en moet apart toegankelijk zijn, om op die manier te voorkomen dat de back-up ook onderdeel wordt van de cyberaanval.

Daarnaast kan het belangrijk zijn om persoonsgegevens te versleutelen met een geavanceerd algoritme, waarbij de decoderingssleutel niet makkelijk gekraakt kan worden. Ook is het van belang om logging-software te installeren. Hiermee kan achterhaald worden of persoonsgegevens onbevoegd zijn ingezien of zijn geëxfiltreerd. Als laatste is het trainen van medewerkers uitermate belangrijk. Als medewerkers bepaalde cyberincidenten herkennen, kunnen deze mogelijk worden voorkomen of kan ervoor worden gezorgd dat een interne melding tijdig wordt doorgezet naar de juiste afdeling, zoals een Computer Security Incident Response Team (CSIRT).^[53]

Welke maatregelen genomen moeten worden, is uiteindelijk afhankelijk van de risico’s voor de mogelijk getroffen personen. Om de gevolgen van de cyberaanvallen waar mogelijk te voorkomen en te beperken, is het van belang dat duidelijk in kaart wordt gebracht – aan de hand van een PIA – welke persoonsgegevens worden verwerkt door een organisatie en wat mogelijke risico’s kunnen zijn voor de personen op wie de gegevenswerkingen betrekking hebben.

De uitkomst van dit onderzoek kan dienen als basis voor de beveiligingsmaatregelen die genomen moeten worden om de persoonsgegevens zo goed mogelijk te beschermen. Behulpzaam hierbij zijn ook de door de EDPB opgestelde richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens. In deze richtsnoeren staan de meest voorkomende datalekken, inclusief datalekken door ransomware en malware. Daarnaast wordt aangegeven welke maatregelen kunnen worden genomen om aan de beveiligingsplicht van artikel 32 AVG te voldoen en hoe er in concrete situaties omgegaan moet worden met datalekken. Raadpleeg deze richtlijnen, zodat uw organisatie tijdig en goed is voorbereid.

———-

 

[1] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

[2] Deze fictieve casus is ontleend aan de EDPB, Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, 14 december 2021, nr. 2.

[3] ‘Aanvalsmethodes’: https://www.ncsc.nl/onderwerpen/themas/aanvalsmethodes.

[4] Artikel 4 sub 12 AVG definieert een inbreuk in verband met persoonsgegevens als: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

[5] Autoriteit Persoonsgegevens, Datalekkenrapportage 2021, 25 mei 2022.

[6] Artikel 2 lid 1 AVG.

[7] Artikel 4 sub 2 AVG.

[8] Artikel 4 sub 1 AVG.

[9] Artikel 5 lid 1 sub f AVG.

[10] EDPB, Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, 7 juli 2021, nr. 29.

[11] Overweging 83 AVG; commentaar bij art. 32 AVG, in G.J. Zwenne & H.R. Kranenborg, Tekst & Commentaar Privacy- & Gegevensbeschermingsrecht, Deventer: Wolters Kluwer 2020

[12] CBP, Richtsnoeren: Beveiliging van persoonsgegevens, 1 maart 2013, Stcrt. 5174.

[13] Artikel 9 AVG.

[14] Artikel 9 lid 2 AVG.

[15] Deze vier categorieën kunnen worden gedestilleerd uit de EDPB, Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, 14 december 2021.

[16] Artikel 25 AVG.

[17] Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.

[18] Voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie en tot intrekking van Richtlijn (EU) 2016/1148, COM(2020) 823 final.

[19] Proposal for a Regulation of the European Parliament and of the Council on Horizontal Cybersecurity Requirements for Products with Digital Elements and Amending Regulation (EU) 2019/1020, COM(2022) 454 final.

[20] Artikel 3, artikel 4 en artikel 5 van het besluit elektronische gegevensverwerking door zorgaanbieders; artikel 2 van de regeling gebruik burgerservicenummer in de zorg.

[21] Zie onder meer: Autoriteit Persoonsgegevens, Boete OLVG voor slechte beveiliging patiëntendossiers, 11 februari 2021; Autoriteit Persoonsgegevens, Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite, 10 juni 2021.

[22] Artikel 4 sub 12 AVG.

[23] WP29, ‘Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, 2018, p. 7 en 8.

[24] Zie ook: F. Schets, ‘Een analyse van de Nederlandse rechtspraak: welke factoren spelen een rol bij het (al dan niet) toekennen en vaststellen van de omvang van een schadevergoeding op grond van de AVG?’, VAST 2022 / W-005.

[25] Artikel 33 lid 1 en overweging 87 AVG.

[26] Overweging 85 AVG.

[27] Artikel 34 AVG.

[28] Commentaar bij art. 34 AVG, in G.J. Zwenne & H.R. Kranenborg, Tekst & Commentaar Privacy- & Gegevensbeschermingsrecht, Deventer: Wolters Kluwer 2020 en WP29, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, 2018, p. 26-30.

[29] WP29, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, 2018, p. 26-27.

[30] WP29, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, 2018, p. 26-27.

[31] Overweging 85 AVG.

[32] Overweging 87 AVG.

[33] Desalniettemin zijn/waren er nog steeds bezwaren ten aanzien van het meldformulier, zie Ö. Zivali & E. Thole, ‘Open brief aan de Autoriteit Persoonsgegevens: Verbeter het meldloket voor datalekken,’ Privacy & Informatie 2021/6 en de reactie op die open brief: Autoriteit Persoonsgegevens, ‘Reactie van Autoriteit Persoonsgegevens op open brief over meldloket datalekken,’ Tijdschrift voor Internetrecht 2022/3, p. 96-98.

[34] Zie blog en onderzoek van de Privacy Company, ‘Een spannend nieuw meldformulier datalekken’, 7 juni 2021 en Ö. Zivali & E. Thole, ‘Open brief aan de Autoriteit Persoonsgegevens: Verbeter het meldloket voor datalekken,’ Privacy & Informatie 2021/6 en de reactie op die open brief: Autoriteit Persoonsgegevens, ‘Reactie van Autoriteit Persoonsgegevens op open brief over meldloket datalekken,’ Tijdschrift voor Internetrecht 2022/3, p. 96-98.

[35] Artikel 32 lid 5 AVG.

[36] Artikel 5 lid 2 AVG.

[37] Artikel 83 AVG.

[38] Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Stcrt. 2019, 14586).

[39] EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 mei 2022.

[40] Autoriteit Persoonsgegevens, Boete ministerie Buitenlandse Zaken NVIS, 6 april 2022.

[41] Autoriteit Persoonsgegevens, Boete Booking.com, 10 december 2020.

[42] Autoriteit Persoonsgegevens, Boete datalek PVV Overijssel, 11 mei 2021.

[43] Artikel 82 AVG.

[44] Zie ook: F. Schets, ‘Een analyse van de Nederlandse rechtspraak: welke factoren spelen een rol bij het (al dan niet) toekennen en vaststellen van de omvang van een schadevergoeding op grond van de AVG?’, VAST 2022 / W-005.

[45] Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457.

[46] Zie: Rechtbank Amsterdam 9 november 2022, ECLI:NL:RBAMS:2022:6488.

[47] N.M. Brouwer, ‘De cyberverzekering: over incident response, boetes en ransomware, Maandblad voor Vermogensrecht 2022, nummer 2, p. 63-69.

[48] N.M. Brouwer, ‘De cyberverzekering: over incident response, boetes en ransomware, Maandblad voor Vermogensrecht 2022, nummer 2, p. 63-69.

[49] N.M. Brouwer, ‘De cyberverzekering: over incident response, boetes en ransomware, Maandblad voor Vermogensrecht 2022, nummer 2, p. 63-69 en A.P. Freund en R.A. van der Geest, ‘De cyberverzekering voor ransomware-aanvallen’, Tijdschrift voor Internetrecht 2022/3, p. 80-85.

[50] A.P. Freund en R.A. van der Geest, ‘De cyberverzekering voor ransomware-aanvallen’, Tijdschrift voor Internetrecht 2022/3, §5.

[51] Gebaseerd op EDPB, Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, 14 december 2021, nr. 2 en 3.

[52] EDPB, Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, 14 december 2021, nr. 2.5 & 3.4.

[53] EDPB, Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, 14 december 2021.