Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 9: meld een datalek.

13/08/2018

In de vorige stappen hebben we gezien hoe je een gegevensbeschermingsbeleid opstelt (stap 4), hoe je de verwerking van persoonsgegevens in kaart brengt (stappen 5 en 6), hoe je persoonsgegevens beveiligt (stap 7) en hoe je goede afspraken maakt met verwerkers omtrent de verwerking van persoonsgegevens (stap 8). Maar ondanks al onze inspanningen doet het worst-case scenario zich voor. Een datalek. En nu?

Neem volgende stappen:

  • Ga na of je het datalek aan de Gegevensbeschermingsautoriteit moet melden.
  • Ga na of je het datalek aan de betrokkenen moet melden.
  • Documenteer het datalek in een datalekregister (intern document).
  • Meld het datalek aan de Gegevensbeschermingsautoriteit en, indien vereist, aan de betrokkenen.
  • Neem de nodige maatregelen om het datalek op te lossen.

In wat volgt zullen we op al deze stappen inzoomen.

Wat is een datalek?

Artikel 4 van de AVG definieert een aantal belangrijke termen. Zo omschrijft puntje 12 een datalek (“inbreuk in verband met persoonsgegevens”) als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Het is dus niet vereist dat een derde gebruikmaakt van de persoonsgegevens. Het feit dat een onbevoegde er toegang toe heeft is voldoende om te kunnen spreken over een datalek.

Meld een datalek altijd eerst intern aan de DPO. Hij/Zij is het best in staat om in te schatten wat de impact is van het datalek en hoe er best over gecommuniceerd wordt richting betrokkenen, indien nodig.

Voorbeelden van datalekken zijn:

  • het hacken van een computer waarop persoonsgegevens staan;
  • het verkeerd versturen van e-mails (bv. iemand in het TO-veld zetten in plaats van in het BCC-veld);
  • het verliezen van usb-sticks;
  • het plaatsen van vertrouwelijke data op een publieke website;
  • het verliezen van encryptiesleutels of paswoordgegevens;
  • het verliezen van informatie m.b.t. betaalkaarten;
  • het verliezen van persoonsgegevens door acute stroomuitval;

Bij twijfel of iets al dan niet als een datalek moet beschouwd worden kunt u telkens contact opnemen met de Gegevensbeschermingsautoriteit: contact@apd-gba.be

Wanneer en aan wie moet het datalek gemeld worden?

Meld een datalek altijd eerst aan de DPO van uw organisatie. Hij/Zij heeft de nodige kennis om te bepalen of het lek moet gemeld worden en aan wie. Ook kan deze persoon adviseren welke maatregelen de organisatie moet nemen om het datalek op passende wijze weg te werken.

Om te bepalen of het datalek extern moet worden gemeld, moet je je eerst 2 essentiële vragen stellen.

  • Vormt het datalek een bedreiging voor de rechten en vrijheden van de betrokkenen?

Of anders gezegd: heeft het datalek betrekking op persoonsgegevens van gevoelige aard en/of leidt het tot ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens of de kans hierop?

Persoonsgegevens van gevoelige aard zijn:

  • bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen en gegevens over gezondheid;
  • Rijksregisternummer;
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting;
  • gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim.

Factoren met (kans op) ernstige nadelige gevolgen:

  • omvangrijke verwerkingen of een keten van gegevensverwerking;
  • ingrijpende beslissingen die worden genomen met de gegevens;
  • kwetsbare groepen zoals kinderen en gehandicapten.

Als het antwoord op de vraag negatief is, los het datalek dan intern op. Je hoeft het niet extern te melden. Je hoeft ook geen rekening te houden met vraag 2.

Als het antwoord op de vraag positief is, meld dan het datalek aan de GBA. Los het vervolgens op. Ga naar vraag 2 om te bepalen of je het lek ook aan de betrokkenen moet melden.

  • Houd de inbreuk waarschijnlijk een hoog risico in voor de rechten en vrijheden van natuurlijke personen?

Met andere woorden heeft de inbreuk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?

Het kernwoord hier is risico. De termen ‘risico’ en ‘hoog risico’ zijn voer voor discussie geweest aangezien de AVG weinig duidelijkheid schept hieromtrent.  Daarom heeft de Working Party 29 op 3 oktober 2017 de ‘Guidelines on Personal data breach notification under Regulation 2016/679’ gepubliceerd, waarin het een aantal factoren oplijst die leiden tot een hoger risico:

  • aard en omvang van de inbreuk;
  • gevoeligheid en het volume van de persoonsgegevens;
  • de combinatie van verschillende persoonsgegevens en het gemak om er een persoon mee te identificeren;
  • persoonsgegevens die betrekking hebben op kwetsbare personen (bv. kinderen).

Is het antwoord op de vraag negatief, dan is het voldoende om het datalek te melden aan de Gegevensbeschermingsautoriteit. Je hoeft het datalek niet te melden aan de betrokkenen.

Is het antwoord op de vraag positief, dan moet je het datalek zowel aan de Gegevensbeschermingsautoriteit als aan alle betrokkenen melden.

De richtlijn van WP29 geeft ook mee dat de mededeling aan de betrokkene niet vereist is wanneer:

  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen waardoor de persoonsgegevens onbegrijpelijk zijn gemaakt door bijvoorbeeld encryptie;
  • de verwerkingsverantwoordelijke nadien maatregelen heeft genomen om ervoor te zorgen dat het hoge risico zich niet meer zal voordoen;
  • de mededeling onevenredige inspanningen zou vergen. Echter, in dit laatste geval zal een openbare mededeling moeten gebeuren zodat de betrokkene even doeltreffend zal zijn geïnformeerd (art. 34, §3 AVG).

Voordat je een datalek meldt aan de betrokkenen, meld je het aan de Gegevensbeschermingsautoriteit. Deze kan je helpen beslissen of het nodig is om de betrokkenen op de hoogte te stellen van het lek. De gegevensbeschermingsautoriteit heeft steeds een beoordelingsmarge om te bepalen of een dergelijke melding aan de betrokkenen vereist is, of, indien één van de uitzonderingen geldt, hij net geen melding hoeft te doen. Aangezien de verwerkingsverantwoordelijke iedere notificatie dient te documenteren, kan een goed gedocumenteerd document veelal in positieve zin helpen bij de beslissing van de gegevensbeschermingsautoriteit.

Hoe meld ik een datalek aan de Gegevensbeschermingsautoriteit?

Verzamel eerst en vooral de noodzakelijke informatie over het datalek. Hoe meer hoe beter. Volgende elementen zijn alvast een minimum:

  • de aard van het datalek, waar mogelijk met toelichting van de categorieën van betrokkenen en het aantal betrokkenen (bv. kinderen of werknemers);
  • de naam van de persoon met wie de Gegevensbeschermingsautoriteit contact kan opnemen voor meer informatie (dit kan de Data Protection Officer zijn of een andere contactpersoon);
  • de (waarschijnlijke) gevolgen van het datalek (bv. identiteitsdiefstal, financiële verliezen);
  • de voorgestelde en genomen maatregelen om de inbreuk te verhelpen of de nadelige gevolgen ervan te beperken (bv. het op afstand wipen van smartphone).

Vul daarna het online formulier in dat u hier kunt downloaden: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen

Upload het ingevulde formulier hier: https://eforms.gegevensbeschermingsautoriteit.be/privacy-commission/home/public/upload?language=nl

De verantwoordelijke gegevensverwerking moet het datalek binnen de 72 u na kennisname melden aan de Gegevensbeschermingsautoriteit. Zie verder voor meer info rond de termijn.

Dankzij de melding kan de Gegevensbeschermingsautoriteit samen met de verantwoordelijke voor de verwerking van de gelekte gegevens de impact van het gegevenslek inschatten, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

Hoe meld ik een datalek aan betrokkenen?

Contacteer alle betrokkenen die door het datalek geschaad kunnen worden. De DPO is het best in staat om te bepalen wat de meest geschikte communicatiedrager is.

Houd er rekening mee dat je misschien niet beschikt over de noodzakelijke gegevens van alle betrokkenen, of dat de betrokkenen niet altijd via gangbare communicatiemiddelen bereikbaar zijn. Als je bv. geen e-mailadres of telefoonnummer hebt van de betrokkenen, of je weet dat er betrokkenen zijn die je helemaal niet kunt bereiken, dan kun je overwegen om een persbericht te verspreiden, of om een publicatie op je openbare website te plaatsen.

Meld zowel de aard van de inbreuk als aanbevelingen over hoe de betrokkene mogelijke negatieve gevolgen kan beperken (artikel 34 AVG). Een mogelijke aanbeveling is het wijzigen van een wachtwoord.

Meld een datalek ‘onverwijld’ (lees onmiddellijk) aan alle betrokkenen. Zie verder voor meer info over de termijn.

Wat als je als verwerkingsverantwoordelijke werkt met een of meerdere verwerkers, en een van de verwerkers ontdekt een datalek?

In dat geval moet de verwerker het datalek ‘zonder onredelijke vertraging’ (lees: zo snel mogelijk) aan de verwerkingsverantwoordelijke melden (zie verder voor meer info). Bovendien moet de verwerker de verwerkingsverantwoordelijk zo goed mogelijk bijstaan wanneer deze het lek documenteert in zijn datalekregister. De termijn voor datalekmelding begint te lopen na kennisname van het lek door de verwerkingsverantwoordelijke, dus vanaf dat de verwerker het lek aan de verwerkingsverantwoordelijke heeft gemeld.

Het is een ‘good practice’ om in de verwerkersovereenkomst te bepalen wat de verwerker moet doen ingeval van een datalek: welke gegevens hij moet doorgeven aan de verwerkingsverantwoordelijke en binnen welke termijn na kennisname (door de verwerker!) dit moet gebeuren.

Hoe snel moet de melding van het datalek gebeuren?

Het is belangrijk om op dit punt het onderscheid te maken tussen 3 soorten meldingen:

  • melding aan de Gegevensbeschermingsautoriteit;
  • melding aan de betrokkene;
  • melding verwerker aan verwerkingsverantwoordelijke.

Een kernbegrip hier is ‘kennisname’. De termijn voor de melding van het datalek begint te lopen vanaf het moment van ‘kennisname’, nl. van zodra iemand binnen de organisatie van de verwerkingsverantwoordelijke kennisneemt van het lek. Dat moment van ‘kennisname’ is niet altijd duidelijk. Hacking is bv. een klare zaak: van zodra je weet dat er gehackt is, kun je spreken over het moment van kennisname. Maar als een burger/klant je erop wijst dat er persoonsgegevens op straat liggen en je moet dit eerst verifiëren, dan is er nog geen sprake van kennisname (je hebt het lek nog niet waargenomen). Pas vanaf de constatatie dat er effectief persoonsgegevens zijn gelekt, gaat het moment in. Een dergelijk onderzoek om een datalek te bevestigen mag je niet uitstellen. Dit moet zo snel mogelijk gebeuren.

Gegevensbeschermingsautoriteit: meld het datalek binnen de 72u na het moment van kennisname. Voor wat betreft het aantal uur spreken we hier niet over werkdagen maar kalenderdagen.

Betrokkene: meld het datalek ‘onverwijld’, d.w.z. onmiddellijk of heel snel.

Verwerker: meld het datalek ‘zonder onredelijke vertraging’, d.w.z. zo snel mogelijk.

Niet gelukt om het lek binnen de vooropgestelde termijn te melden? Geen paniek, dit kan voorvallen, zeker wanneer een onderzoek naar de echtheid van het datalek uitloopt. Zorg ervoor dat je de vertraging van de melding kunt motiveren t.a.v. de Gegevensbeschermingsautoriteit.

Wat is de Gegevensbeschermingsautoriteit en hoe verschilt die organisatie van de Privacycommissie?

De Gegevensbeschermingsautoriteit (hierna GBA genoemd) werd door de wet van 3 december 2017 tot oprichting van de Gegevenbeschermingsautoriteit in het leven geroepen. Die wet trad in werking op 25 mei 2018, net als de Algemene Verordening Gegevensbescherming (ofwel GDPR), waardoor de GBA officieel de plaats innam van de Privacycommissie. Het doel van de GBA, zoals ook op de website https://www.gegevensbeschermingsautoriteit.be/ te lezen valt, is ervoor te zorgen dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat de privacy van betrokkenen ook in de toekomst gewaarborgd blijft.

Waar de Privacycommissie slechts een adviesbevoegdheid had, beschikt de GBA ook over een controlebevoegdheid, een bevoegdheid om geschillen te beslechten en sancties op te leggen. Die extra bevoegdheden spelen in op de bescherming van de persoonsgegevens: indien wordt vastgesteld dat deze niet worden gerespecteerd, dan is de GBA bevoegd om boetes op te leggen of zelfs rechtsvorderingen in te stellen.

Moet ik wakker liggen van de boetes die onder de AVG kunnen uitgeschreven worden?

Ja en nee. In theorie zijn volgende boetes mogelijk onder de AVG:

  • een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
  • een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
  • een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
  • een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

In de praktijk zijn er in België nog geen boetes uitgeschreven en is er nog geen duidelijkheid over hoe dat zal gebeuren. Ook is er al gezegd dat boetes pas na waarschuwingen en in uitzonderlijke gevallen zullen worden gegeven. Als we echter kijken naar onze buurlanden, zien we dat er wel al effectief boetes zijn opgelegd: https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/. Beter voorkomen dan genezen is de boodschap. Zorg ervoor dat uw persoonsgegevensbescherming op punt staat tegen dat de boeteprocedure in België volledig is uitgewerkt.

Hoe kan ik me voorbereiden op het melden van een datalek?

Zorg voor een degelijke procedure voor de melding van datalekken. Je hebt immers maar 72 uur om het datalek te melden aan de Gegevensbeschermingsautoriteit (en minder tijd voor betrokkenen, want zij moeten ‘onverwijld’ op de hoogte worden gebracht!).

Enkele vragen om mee te nemen in dit proces:

  • Als je geen DPO hebt (of deze is op vakantie), wie is dan de verantwoordelijke voor de melding van het datalek?
  • Wie wordt intern en/of extern op de hoogte gebracht (en via welk escalatiepad) van het datalek?
  • Hebben we van onze leveranciers contactnummers ingeval van noodsituaties?
  • Welke risicoimpact is er mogelijk en hoe zal deze worden ingeschat?
  • Ben je vertrouwd met de melding van datalekken via de website van de Gegevensbeschermingsautoriteit? Lees er meer over op: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen
  • Zorg bij een datalek dat jij en je collega’s zoveel mogelijk documenteren. Je digitale sporen proberen uit te wissen heeft weinig zin. Werk liever productief mee aan het oplossen van het lek.
  • Indien de rechten en plichten van betrokkenen een ernstig risico lopen, denk er dan aan hen ‘onverwijld’ op de hoogte te brengen van het lek. Langs welk kanaal ga je je gebruikers/klanten contacteren? Wat met klanten waarvan je geen contactgegevens hebt? Of wanneer je website plat ligt? Ga je het lek dan bv. via een persbericht de wereld insturen?

Hoe voorkom ik toekomstige datalekken?

Houd al je datalekken intern bij in een datalekregister. Dit kan een digitaal bestand zijn, maar bv. ook online formulieren. De vorm is van ondergeschikt belang; wat wel belangrijk is, is dat je zoveel mogelijk informatie rond het datalek verzamelt in dit register.

Vermeld in dit register de volgende gegevens van het datalek: de datum van constatering, een beschrijving van de inbreuk, de (mogelijke) gevolgen, de getroffen maatregelen, of het datalek al dan niet gemeld is aan de Gegevensbeschermingsautoriteit en betrokkenen, en indien er sprake is van melding aan betrokkenen, wat de boodschap was die is uitgestuurd.

Het grote voordeel van zo’n register is dat je heel snel kunt refereren naar vorige datalekken en de manier waarop ze destijds zijn opgelost of aangepakt.

Is dit alles wel de moeite? Zoveel datalekken zijn er toch niet?

Toch wel. Datalekken zijn schering en inslag, en wat we in de media zien verschijnen is slechts het topje van de ijsberg. Recente voorbeelden zijn:

Uiteraard is er ook het Facebook / Cambridge Analytics schandaal geweest (zie http://www.standaard.be/cnt/dmf20180405_03447080). Zelfs de Nederlandse Data Protection Authority, nl. de Autoriteit Persoonsgegevens, heeft per ongeluk persoonsgegevens openbaar gemaakt: https://www.nu.nl/internet/5179583/autoriteit-persoonsgegevens-lekte-per-ongeluk-namen-van-personeel.html. Heel veel datalekken blijven echter onder de radar van de media.

Vaak maken bedrijven hun datalekken niet bekend, omdat ze vrezen dat het hun reputatie zal beschadigen. Hoewel een datalek negatieve publiciteit met zich meebrengt, kun je het counteren door het lek snel en in duidelijke bewoordingen bekend te maken en gepaste maatregelen te treffen. Dit toont de daadkracht van uw organisatie aan. Zie een datalek dan ook als een opportuniteit, niet als een bedreiging. Tot slot nog een interessante melding van een datalek door een grote speler op de ticketingmarkt: Ticketmaster. https://security.ticketmaster.co.uk/

Hoe kan V-ICT-OR mij hierin bijstaan?

De informatieveiligheidstool van V-ICT-OR krijgt er binnenkort de mogelijkheid bij om datalekken te registreren binnen een datalekregister. De tool zal ook de mogelijkheid krijgen om datalekken te melden aan de Gegevensbeschermingsautoriteit en de betrokkenen.