De kans dat een mobiel device data bevat waaraan de AVG eisen stelt is zeer groot. Op elke smartphone, tablet of laptop staan gegevens van meer personen dan van de eigenaar / gebruiker zelf. Betekent dat dan ook dat bij verlies of diefstal altijd een datalek gemeld moet worden?
Verlies komt veel voor en dat geldt ook voor de vraag wie er meer moet worden geïnformeerd dan de werkgever en de IT beheerder. Als snel dringt door dat de AVG iets zegt over een meldplicht voor datalekken.
Waarom melden?
Vervolgens wordt het onduidelijk. De zoekresultaten van zoekmachines geven vaak twee suggesties. Melden is verplicht en voorkomt erger. De andere is melden kan geen kwaad. De handeling is in beide gevallen gelijk, maar de onderbouwing is totaal verschillend. Dat komt omdat bij die twee suggesties een belangrijk punt niet is benoemd.
Bij een device, waarop persoonsgegevens zijn opgeslagen, kan sprake zijn van opslaan en encrypted opslaan. Staat de data vrij uitleesbaar op het device, dan is volgens artikel 33 van de AVG een datalek ontstaan dat moet worden gemeld. Als het daarbij gaat om bijzonder gevoelige data moeten ook de personen die dat betreft worden ingelicht. Dat staat beschreven in artikel 34.
Belang encryptie
Als het device is voorzien van versleuteling kan sprake zijn van het belemmeren van toegang tot het device. Het kan ook zijn dat de storage is versleuteld. In het eerste geval kan de SD kaart of harde schijf worden verwijderd en met een ander device worden uitgelezen. Als de drager is encrypted is dat minder waarschijnlijk. In dat eerste geval geldt dan ook dat er risico is voor de betrokkenen. Dan zou conform artikel 33 en 34 moeten worden gehandeld. Bij aparte encryptie van de drager is dat dus eigenlijk niet nodig.
Beslisboom
Van bovenstaande is een makkelijke beslisboom te maken. Die helpt de organisatie bij het beantwoorden van de vraag wel of niet melden. Het is echter niet het gehele verhaal. Want zelfs als er geen enkel risico bestaat van door verlies data verloren is gegaan of misbruikt kan worden is er nog de vraag wat het antwoord is op de vraag die artikel 32 stelt. Die gaat over de “passende technische en organisatorische maatregelen.” In theorie is het namelijk mogelijk dat de werkgever of beheerder niets heeft geregeld en dat het puur aan eigen initiatief van de werknemer te danken is dat de data op een device conform de AVG is beschermd.
De beslisboom houdt geen rekening met personeel dat beter op de hoogte is van de wet en de juiste maatregelen dan de werkgever. De AVG suggereert dat die laatste dan nog steeds in de gevarenzone kan belanden.
Link naar tekst AVG
