De Autoriteit Persoonsgegevens (AP) heeft deze week zelf gelekt. De AP, waarbij bedrijven lekken moeten melden, maakte per ongeluk zelf de namen van werknemers openbaar. Mischa van Geelen, onderzoeker bij het beveiligingsbedrijf NFIR, ontdekte het lek deze week.
De namen stonden in een cluster van zo’n 800 PDF-documenten die de Autoriteit Persoonsgegevens op internet had gepubliceerd. NFIR maakte er eerst melding van bij de AP zelf. Pas nadat het lek was gedicht, bracht de beveiliger het lek naar buiten.
Melden
De namen waren korte tijd te zien in de metadata van de bestanden. Inmiddels zijn de metadata aangepast. Volgens het AP was publicatie van de namen nooit de bedoeling.
Sinds 1 januari 2016 geldt de meldplicht datalekken. Zowel bedrijven als overheden moeten direct een melding doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt.
Persoonsgegevens
De meldplicht datalekken is vooral van toepassing op organisaties die worden aangemerkt als ‘verantwoordelijke’ in de zin van de Wet Bescherming Persoonsgegevens. Dit zijn organisaties die ten eerste bepalen met welk doel de persoonsgegevens worden verzameld en ten tweede op welke manier de persoonsgegevens worden verwerkt.
De verantwoordelijke is verplicht het uitvoeren van de verwerking van persoonsgegevens te regelen in een overeenkomst. Daarin moeten afspraken staan met de uitvoerder. Dat is in de meeste gevallen een ingehuurd IT-bedrijf. De afspraken gaan vooral over de beveiliging van de persoonsgegevens.
De partijen moeten heldere afspraken maken over hoe er zal worden omgegaan met datalekken.
Volgens de AP zelf valt hun eigen lek niet onder de meldplicht. Die plicht geldt wel als er ernstige nadelige gevolgen zijn of lijken te zijn voor de bescherming van persoonsgegevens.
