1.4.4 Het verschil tussen inbreuken in verband met persoonsgegevens, beveiligingsschendingen, datalekken en schendingen van art. 5 lid 1 onder f en 32 AVG

Er zijn verschillende termen waarmee kan worden aangegeven dat er juridisch of praktisch gezien onvoldoende beveiligingsmaatregelen zijn getroffen en/of dat er sprake is geweest van een beveiligingsincident. Hierbij gaat het in de eerste plaats om de termen ‘beveiligingsinbreuk’, ‘beveiligingsincident’, ‘inbreuk in verband met persoonsgegevens’, ‘datalek’ en ‘schending van de AVG-beveiligingsbepalingen’. Deze begrippen lijken op elkaar, maar hebben niet dezelfde betekenis. Daarom ga ik hier kort in op hun onderlinge gelijkenissen en verschillen.

Met de begrippen ‘beveiligingsinbreuk’ (ook wel een ‘beveiligings­incident’ genoemd) duiden informatiebeveiligings­specialisten aan dat er is ingebroken in een beveiligingssysteem. Dit betekent dat er iets is gebeurd waardoor een beveiligingsdoel niet is gerealiseerd.1 Wanneer er een beveiligingsinbreuk met betrekking tot de beveiliging van persoonsgegevens plaatsvindt, zal er ook sprake zijn van een ‘inbreuk in verband met persoonsgegevens’; een term uit de AVG.2 Dit is een “inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.3 Hoewel ‘beveiligingsinbreuk’ en ‘inbreuk in verband met persoonsgegevens’ als uitgangspunt lijken te hebben dat er beveiligingsmaatregelen zijn getroffen, kan er ook bij de afwezigheid van beveiligingsmaatregelen sprake zijn van een beveiligingsinbreuk of een inbreuk in verband met persoonsgegevens.4

Van een ‘schending van de AVG-beveiligingsbepalingen’ is sprake wanneer art. 5 lid 1 lid onder f en/of art. 32 AVG zijn geschonden. Er zijn dan geen passende maatregelen getroffen en er is geen passend beveiligingsniveau gewaarborgd.5 Niet iedere inbreuk in verband met persoonsgegevens en beveiligings­inbreuk leidt tot een schending van deze bepalingen. Hoewel een beveiligingsincident een indicatie kan zijn voor een zwakke beveiliging,6 is het goed mogelijk dat een beveiligingsinbreuk en/of inbreuk in verband met persoonsgegevens plaatsvindt terwijl er wel passende maatregelen zijn getroffen. Ook andersom bestaat er geen volledige overlap: het kan zijn dat een verwerkingsverantwoordelijke of verwerker geen passende beveiliging waarborgt, maar dat er desondanks geen beveiligingsinbreuk plaatsvindt. De AVG is dan geschonden zonder dat er sprake is van een beveiligingsinbreuk of inbreuk in verband met persoonsgegevens. In een dergelijk geval zijn toezichthouders bevoegd een boete op te leggen. Omdat er (nog) geen sprake is van schade, zullen er echter geen betrokkenen zijn die een aansprakelijkheidsclaim kunnen indienen.

Wanneer persoonsgegevens toegankelijk zijn voor ongeautoriseerde partijen, wordt er gesproken over een ‘datalek’. Dit is een bepaald soort beveiligingsinbreuk, waarbij de vertrouwelijkheid van de gegevens is aangetast. Er is daarbij niet noodzakelijkerwijs ook sprake van een schending van de AVG. Ook wanneer er passende maatregelen zijn getroffen en het passende beveiligings­niveau is gewaarborgd, kan een datalek plaatsvinden. Niet iedere inbreuk in verband met persoons­gegevens is echter een datalek: een schending van de beschikbaarheid van gegevens zal niet als zodanig worden gekwalificeerd. De term datalek heeft juridisch gezien niet veel waarde. In het vervolg van deze studie gebruik ik dit begrip daarom nauwelijks.