In de vorige stappen hebben we gezien hoe je een gegevensbeschermingsbeleid opstelt (stap 4), hoe je de verwerking van persoonsgegevens in kaart brengt (stappen 5 en 6), hoe je persoonsgegevens beveiligt (stap 7) en hoe je goede afspraken maakt met verwerkers omtrent de verwerking van persoonsgegevens (stap 8). Maar ondanks al onze inspanningen doet het worst-case scenario zich voor. Een datalek. En nu?
Neem volgende stappen:
In wat volgt zullen we op al deze stappen inzoomen.
Artikel 4 van de AVG definieert een aantal belangrijke termen. Zo omschrijft puntje 12 een datalek (“inbreuk in verband met persoonsgegevens”) als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Het is dus niet vereist dat een derde gebruikmaakt van de persoonsgegevens. Het feit dat een onbevoegde er toegang toe heeft is voldoende om te kunnen spreken over een datalek.
Meld een datalek altijd eerst intern aan de DPO. Hij/Zij is het best in staat om in te schatten wat de impact is van het datalek en hoe er best over gecommuniceerd wordt richting betrokkenen, indien nodig.
Voorbeelden van datalekken zijn:
Bij twijfel of iets al dan niet als een datalek moet beschouwd worden kunt u telkens contact opnemen met de Gegevensbeschermingsautoriteit: contact@apd-gba.be
Meld een datalek altijd eerst aan de DPO van uw organisatie. Hij/Zij heeft de nodige kennis om te bepalen of het lek moet gemeld worden en aan wie. Ook kan deze persoon adviseren welke maatregelen de organisatie moet nemen om het datalek op passende wijze weg te werken.
Om te bepalen of het datalek extern moet worden gemeld, moet je je eerst 2 essentiële vragen stellen.
Of anders gezegd: heeft het datalek betrekking op persoonsgegevens van gevoelige aard en/of leidt het tot ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens of de kans hierop?
Persoonsgegevens van gevoelige aard zijn:
Factoren met (kans op) ernstige nadelige gevolgen:
Als het antwoord op de vraag negatief is, los het datalek dan intern op. Je hoeft het niet extern te melden. Je hoeft ook geen rekening te houden met vraag 2.
Als het antwoord op de vraag positief is, meld dan het datalek aan de GBA. Los het vervolgens op. Ga naar vraag 2 om te bepalen of je het lek ook aan de betrokkenen moet melden.
Met andere woorden heeft de inbreuk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?
Het kernwoord hier is risico. De termen ‘risico’ en ‘hoog risico’ zijn voer voor discussie geweest aangezien de AVG weinig duidelijkheid schept hieromtrent. Daarom heeft de Working Party 29 op 3 oktober 2017 de ‘Guidelines on Personal data breach notification under Regulation 2016/679’ gepubliceerd, waarin het een aantal factoren oplijst die leiden tot een hoger risico:
Is het antwoord op de vraag negatief, dan is het voldoende om het datalek te melden aan de Gegevensbeschermingsautoriteit. Je hoeft het datalek niet te melden aan de betrokkenen.
Is het antwoord op de vraag positief, dan moet je het datalek zowel aan de Gegevensbeschermingsautoriteit als aan alle betrokkenen melden.
De richtlijn van WP29 geeft ook mee dat de mededeling aan de betrokkene niet vereist is wanneer:
Voordat je een datalek meldt aan de betrokkenen, meld je het aan de Gegevensbeschermingsautoriteit. Deze kan je helpen beslissen of het nodig is om de betrokkenen op de hoogte te stellen van het lek. De gegevensbeschermingsautoriteit heeft steeds een beoordelingsmarge om te bepalen of een dergelijke melding aan de betrokkenen vereist is, of, indien één van de uitzonderingen geldt, hij net geen melding hoeft te doen. Aangezien de verwerkingsverantwoordelijke iedere notificatie dient te documenteren, kan een goed gedocumenteerd document veelal in positieve zin helpen bij de beslissing van de gegevensbeschermingsautoriteit.
Verzamel eerst en vooral de noodzakelijke informatie over het datalek. Hoe meer hoe beter. Volgende elementen zijn alvast een minimum:
Vul daarna het online formulier in dat u hier kunt downloaden: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen
Upload het ingevulde formulier hier: https://eforms.gegevensbeschermingsautoriteit.be/privacy-commission/home/public/upload?language=nl
De verantwoordelijke gegevensverwerking moet het datalek binnen de 72 u na kennisname melden aan de Gegevensbeschermingsautoriteit. Zie verder voor meer info rond de termijn.
Dankzij de melding kan de Gegevensbeschermingsautoriteit samen met de verantwoordelijke voor de verwerking van de gelekte gegevens de impact van het gegevenslek inschatten, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.
Contacteer alle betrokkenen die door het datalek geschaad kunnen worden. De DPO is het best in staat om te bepalen wat de meest geschikte communicatiedrager is.
Houd er rekening mee dat je misschien niet beschikt over de noodzakelijke gegevens van alle betrokkenen, of dat de betrokkenen niet altijd via gangbare communicatiemiddelen bereikbaar zijn. Als je bv. geen e-mailadres of telefoonnummer hebt van de betrokkenen, of je weet dat er betrokkenen zijn die je helemaal niet kunt bereiken, dan kun je overwegen om een persbericht te verspreiden, of om een publicatie op je openbare website te plaatsen.
Meld zowel de aard van de inbreuk als aanbevelingen over hoe de betrokkene mogelijke negatieve gevolgen kan beperken (artikel 34 AVG). Een mogelijke aanbeveling is het wijzigen van een wachtwoord.
Meld een datalek ‘onverwijld’ (lees onmiddellijk) aan alle betrokkenen. Zie verder voor meer info over de termijn.
In dat geval moet de verwerker het datalek ‘zonder onredelijke vertraging’ (lees: zo snel mogelijk) aan de verwerkingsverantwoordelijke melden (zie verder voor meer info). Bovendien moet de verwerker de verwerkingsverantwoordelijk zo goed mogelijk bijstaan wanneer deze het lek documenteert in zijn datalekregister. De termijn voor datalekmelding begint te lopen na kennisname van het lek door de verwerkingsverantwoordelijke, dus vanaf dat de verwerker het lek aan de verwerkingsverantwoordelijke heeft gemeld.
Het is een ‘good practice’ om in de verwerkersovereenkomst te bepalen wat de verwerker moet doen ingeval van een datalek: welke gegevens hij moet doorgeven aan de verwerkingsverantwoordelijke en binnen welke termijn na kennisname (door de verwerker!) dit moet gebeuren.
Het is belangrijk om op dit punt het onderscheid te maken tussen 3 soorten meldingen:
Een kernbegrip hier is ‘kennisname’. De termijn voor de melding van het datalek begint te lopen vanaf het moment van ‘kennisname’, nl. van zodra iemand binnen de organisatie van de verwerkingsverantwoordelijke kennisneemt van het lek. Dat moment van ‘kennisname’ is niet altijd duidelijk. Hacking is bv. een klare zaak: van zodra je weet dat er gehackt is, kun je spreken over het moment van kennisname. Maar als een burger/klant je erop wijst dat er persoonsgegevens op straat liggen en je moet dit eerst verifiëren, dan is er nog geen sprake van kennisname (je hebt het lek nog niet waargenomen). Pas vanaf de constatatie dat er effectief persoonsgegevens zijn gelekt, gaat het moment in. Een dergelijk onderzoek om een datalek te bevestigen mag je niet uitstellen. Dit moet zo snel mogelijk gebeuren.
Gegevensbeschermingsautoriteit: meld het datalek binnen de 72u na het moment van kennisname. Voor wat betreft het aantal uur spreken we hier niet over werkdagen maar kalenderdagen.
Betrokkene: meld het datalek ‘onverwijld’, d.w.z. onmiddellijk of heel snel.
Verwerker: meld het datalek ‘zonder onredelijke vertraging’, d.w.z. zo snel mogelijk.
Niet gelukt om het lek binnen de vooropgestelde termijn te melden? Geen paniek, dit kan voorvallen, zeker wanneer een onderzoek naar de echtheid van het datalek uitloopt. Zorg ervoor dat je de vertraging van de melding kunt motiveren t.a.v. de Gegevensbeschermingsautoriteit.
De Gegevensbeschermingsautoriteit (hierna GBA genoemd) werd door de wet van 3 december 2017 tot oprichting van de Gegevenbeschermingsautoriteit in het leven geroepen. Die wet trad in werking op 25 mei 2018, net als de Algemene Verordening Gegevensbescherming (ofwel GDPR), waardoor de GBA officieel de plaats innam van de Privacycommissie. Het doel van de GBA, zoals ook op de website https://www.gegevensbeschermingsautoriteit.be/ te lezen valt, is ervoor te zorgen dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat de privacy van betrokkenen ook in de toekomst gewaarborgd blijft.
Waar de Privacycommissie slechts een adviesbevoegdheid had, beschikt de GBA ook over een controlebevoegdheid, een bevoegdheid om geschillen te beslechten en sancties op te leggen. Die extra bevoegdheden spelen in op de bescherming van de persoonsgegevens: indien wordt vastgesteld dat deze niet worden gerespecteerd, dan is de GBA bevoegd om boetes op te leggen of zelfs rechtsvorderingen in te stellen.
Ja en nee. In theorie zijn volgende boetes mogelijk onder de AVG:
In de praktijk zijn er in België nog geen boetes uitgeschreven en is er nog geen duidelijkheid over hoe dat zal gebeuren. Ook is er al gezegd dat boetes pas na waarschuwingen en in uitzonderlijke gevallen zullen worden gegeven. Als we echter kijken naar onze buurlanden, zien we dat er wel al effectief boetes zijn opgelegd: https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/. Beter voorkomen dan genezen is de boodschap. Zorg ervoor dat uw persoonsgegevensbescherming op punt staat tegen dat de boeteprocedure in België volledig is uitgewerkt.
Zorg voor een degelijke procedure voor de melding van datalekken. Je hebt immers maar 72 uur om het datalek te melden aan de Gegevensbeschermingsautoriteit (en minder tijd voor betrokkenen, want zij moeten ‘onverwijld’ op de hoogte worden gebracht!).
Enkele vragen om mee te nemen in dit proces:
Houd al je datalekken intern bij in een datalekregister. Dit kan een digitaal bestand zijn, maar bv. ook online formulieren. De vorm is van ondergeschikt belang; wat wel belangrijk is, is dat je zoveel mogelijk informatie rond het datalek verzamelt in dit register.
Vermeld in dit register de volgende gegevens van het datalek: de datum van constatering, een beschrijving van de inbreuk, de (mogelijke) gevolgen, de getroffen maatregelen, of het datalek al dan niet gemeld is aan de Gegevensbeschermingsautoriteit en betrokkenen, en indien er sprake is van melding aan betrokkenen, wat de boodschap was die is uitgestuurd.
Het grote voordeel van zo’n register is dat je heel snel kunt refereren naar vorige datalekken en de manier waarop ze destijds zijn opgelost of aangepakt.
Toch wel. Datalekken zijn schering en inslag, en wat we in de media zien verschijnen is slechts het topje van de ijsberg. Recente voorbeelden zijn:
Uiteraard is er ook het Facebook / Cambridge Analytics schandaal geweest (zie http://www.standaard.be/cnt/dmf20180405_03447080). Zelfs de Nederlandse Data Protection Authority, nl. de Autoriteit Persoonsgegevens, heeft per ongeluk persoonsgegevens openbaar gemaakt: https://www.nu.nl/internet/5179583/autoriteit-persoonsgegevens-lekte-per-ongeluk-namen-van-personeel.html. Heel veel datalekken blijven echter onder de radar van de media.
Vaak maken bedrijven hun datalekken niet bekend, omdat ze vrezen dat het hun reputatie zal beschadigen. Hoewel een datalek negatieve publiciteit met zich meebrengt, kun je het counteren door het lek snel en in duidelijke bewoordingen bekend te maken en gepaste maatregelen te treffen. Dit toont de daadkracht van uw organisatie aan. Zie een datalek dan ook als een opportuniteit, niet als een bedreiging. Tot slot nog een interessante melding van een datalek door een grote speler op de ticketingmarkt: Ticketmaster. https://security.ticketmaster.co.uk/
De informatieveiligheidstool van V-ICT-OR krijgt er binnenkort de mogelijkheid bij om datalekken te registreren binnen een datalekregister. De tool zal ook de mogelijkheid krijgen om datalekken te melden aan de Gegevensbeschermingsautoriteit en de betrokkenen.