Datalek – en nu?!
Datalek – en nu?!
Gegevens gelekt! Bij een aantal leveranciers van diensten (apk historie en onderhoudshistorie) is sprake geweest van een datalek, waarbij gegevens van auto’s en de bijbehorende eigenaren zijn gelekt. Wat moet u als garagehouder doen en wat heeft u te vrezen?
Melding Autoriteit Persoonsgegevens
Zodra een datalek wordt geconstateerd, dient dit door de verwerkingsverantwoordelijke zo snel mogelijk te worden gemeld aan de Autoriteit Persoonsgegevens (AP). Wie als verantwoordelijke of als verwerker kan worden aangemerkt, is vaak vastgelegd in een verwerkersovereenkomst die tussen partijen is gesloten. Voor meer informatie over de verwerkersovereenkomst, verwijs ik u naar dit artikel waarbij ik antwoord geef op de vraag of u met iedereen een verwerkersovereenkomst moet sluiten?
RDC heeft op haar website vermeld dat zij verwerker is en het autobedrijf de verwerkingsverantwoordelijke. Het autobedrijf is immers eigenaar van de klantgegevens. RDC heeft dat aan de aangesloten autobedrijven gemeld. Op de website van het RDC wordt dit als volgt toegelicht:
“Moeten autobedrijven nu een melding doen bij de Autoriteit Persoonsgegevens?”
Ja. Maar wij helpen u daarbij. Er is een document opgesteld waarin wij stap voor stap uitleggen wat te doen. Alle direct betrokken autobedrijven hebben dit document inmiddels van ons ontvangen. De melding kunt u hier doen: https://datalekken.autoriteitpersoonsgegevens.nl/
Betrokken autobedrijven hebben een e-mail ontvangen en naar aanleiding daarvan dienen zij actie te ondernemen. Indien de verwerkingsverantwoordelijke, in dit geval dus het autobedrijf, een datalek ten onrechte niet, of niet tijdig heeft gemeld, kan de AP onder meer een boete opleggen.
Betrokkenen zijn de personen van wie de gegevens zijn gelekt. In sommige gevallen moet het datalek ook aan betrokkenen worden gemeld. Dit is het geval als het datalek mogelijk een (groot) risico inhoudt voor betrokkenen. Op de website van het RDC wordt antwoord gegeven op nog meer vragen, zoals over de melding aan betrokkenen. https://www.rdc.nl/rdc-onderzoekt-datalek-de-meest-gestelde-vragen-en-antwoorden/
Risico datalek
Het risico van dit datalek is dat kentekens en adressen aan elkaar verbonden zijn. Voor criminelen is het interessant om deze gegevens te hebben en eventueel te verkopen. Ook andere gegevens, zoals e-mailadressen en telefoonnummer kunnen door criminelen worden gebruikt of verkocht. Denk aan identiteitsfraude of WhatsAppfraude. Gegevens kunnen ook openbaar worden gemaakt. Het risico is dan vooral gelegen in het feit dat al deze persoonsgegevens aan elkaar te koppelen zijn en op basis daarvan een geheel beeld van een betrokkene kan worden gevormd, waar oplichters misbruik van kunnen maken. Het is, gezien de (mogelijke) risico’s voor betrokkenen, raadzaam voor garagehouders om hun klanten dus te informeren over het dalalek.
Schadevergoeding
Volgens de woordvoerster van de AP hebben betrokkenen niet automatisch recht op een schadevergoeding na een datalek.
De betrokkene, wiens persoonsgegevens zijn gelekt en daardoor schade heeft geleden, kan recht hebben op een schadevergoeding jegens de verwerkingsverantwoordelijke. Indien het datalek is ontstaan door of bij de verwerker, kan de betrokken persoon zowel de verwerkingsverantwoordelijke als de verwerker aansprakelijk stellen voor de schade. Recht op schadevergoeding is er zeker niet altijd. De AP heeft een aantal voorwaarden omschreven.
Voorwaarden schadevergoeding
De betrokkene heeft volgens artikel 82 van de Algemene verordening gegevensbescherming (AVG) recht op schadevergoeding als de betrokkene schade lijdt doordat een organisatie in strijd met de AVG handelt en dit deze organisatie kan worden aangerekend. De garagehouder of dealer is niet aansprakelijk als zij op geen enkele wijze verantwoordelijk zijn voor het schadeveroorzakende feit.
Dat er een datalek heeft plaatsgevonden, betekent ook niet automatisch dat de garagehouder of dealer in strijd met de AVG heeft gehandeld. Niet ieder datalek is verwijtbaar.
Pas als er echt schade voortvloeit uit het datalek, kunt u in dat geval als garagehouder of dealer aansprakelijk worden gesteld voor deze schade. Zowel financiële schade als immateriële schade komen voor vergoeding in aanmerking. Een civiele rechter beoordeelt een vordering om schadevergoeding. De AP speelt hierin geen rol.
Vraagt u zich af of u optreedt als verwerker of verantwoordelijke? Maakt u zich zorgen om de gevolgen van een datalek binnen uw bedrijf? Zijn er onduidelijkheden over hoe te handelen na een datalek? Laat het ons dan weten. Wij helpen graag.