Melden datalek: onderneem tijdig actie
Algemene verordening gegevensbescherming
De Algemene verordening gegevensbescherming (AVG), ook wel de GDPR genoemd, verplicht bedrijven die onder het toepassingsgebied van de verordening vallen maatregelen te nemen bij eventuele datalekken.
​
Er moet niet alleen een register bijgehouden worden waarin alle datalekken worden geregistreerd, bedrijven moeten ook een eventueel datalek melden aan de bevoegde toezichthoudende autoriteit persoonsgegevens. In België is dit de Gegevensbeschermingsautoriteit (GBA).
​
De GDPR is een relatief nieuwe privacywetgeving en is sinds 2018 van kracht in alle Europese lidstaten. Zij is van toepassing op alle ondernemingen en overheidsdiensten die persoonsgegevens verzamelen en verwerken.
​
Lees meer over GDPR.
​
Wat is een datalek?
Inbreuk in verband met persoonsgegevens
In de GDPR zelf wordt er niet gesproken van een ‘datalek’, wel van ‘een ‘inbreuk in verband met persoonsgegevens’.
​
Zo’n inbreuk wordt gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens” (artikel 4 GDPR).
​
Een hele boterham dus, maar wat houdt dit nu precies in?
​
​
Voorbeelden datalekken
Er zijn tal van voorbeelden te bedenken waarbij er sprake is van een datalek. Veel mensen denken bijvoorbeeld in de eerste plaats aan een hacker die de onderneming is binnengedrongen, maar een datalek kan ook subtieler zijn.
​
Zo is er bijvoorbeeld sprake van een datalek bij het verlies van een usb-stick met daarop niet-versleutelde persoonsgegevens, een systeemcrash door een menselijke fout waarbij er geen back-up werd gemaakt van de persoonsgegevens of het weergeven van persoonsgegevens op een onbeveiligde webpagina.
​
Ook een cyberaanval waarbij persoonsgegevens zijn buitgemaakt of een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt vallen onder het begrip datalek. Denk daarnaast bijvoorbeeld ook aan hacking, diefstal of het onopzettelijke verlies of vernietiging van persoonsgegevens.
​
Om van een datalek te spreken moet er dus niet per se kwaad opzet in het spel zijn. Integendeel, veel datalekken zijn een gevolg van menselijke fouten of onvoorzichtigheden.
​
​
Bijhouden van een intern register
Een onderneming dient elke inbreuk met betrekking tot persoonsgegevens te registreren in een intern register, soms ook wel ‘datalelekregister’ genoemd, dat bijgehouden wordt door de onderneming zelf.
​
In dit register moeten vervolgens allerlei gegevens worden gedocumenteerd, zoals het tijdstip van het vaststellen van het incident, een omschrijving van de betrokken persoon of personen, de waarschijnlijke gevolgen van de inbreuk en een omschrijving van de genomen maatregelen.
​
​
Datalek melden
Wanneer er zich een inbreuk in verband met persoonsgegevens (datalek) heeft voorgedaan, dient een onderneming actie te ondernemen en dit te melden. Dit is echter niet altijd verplicht.
​
​
Aan wie moet het datalek gemeld worden?
Een datalek dient zowel aan de bevoegde toezichthoudende autoriteit, dit is de Gegevensbeschermingsautoriteit (GBA), als aan de betrokken personen bij het datalek gemeld worden.
​
De Gegevensbeschermingsautoriteit moet door de gegevensverantwoordelijke binnen de onderneming op de hoogte gesteld worden van het datalek, en dit binnen de 72 uur. Hierop geldt een uitzondering, namelijk wanneer het niet waarschijnlijk is dat de inbreuk op de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokken individuen.
​
De melding van gegevenslekken bij de GBA gebeurt via een elektronisch formulier, dat beschikbaar is op de site van de GBA, via deze link. Dit formulier moet in één van de drie landstalen worden ingevuld en dient vervolgens via een webportaal te worden bezorgd.
​
Enkel indien de inbreuk een hoog risico uitmaakt voor de rechten en vrijheden van de betrokkene moet deze persoon persoonlijk van het datalek op de hoogte worden gebracht.
​
​
Risico-analyse
De GDPR veronderstelt dus dat bij elk incident een zekere afweging en risico-analyse wordt gemaakt om te bepalen of er een hoog risico is. Hier kunnen heel wat vragen rijzen: wat is immers een (voldoende) hoog risico?
​
Mr. Franklin biedt hierbij een eerste hulp en stelt een online tool ter beschikking, Dr. Breach, waardoor jij op een eenvoudige manier een eerste analyse van het risico en de ernst van de inbreuk kunt maken. De tool is gratis en volledig anoniem.
​
​
Bevoegde autoriteit persoonsgegevens Nederland
In Nederland is de bevoegde toezichthoudende autoriteit de Autoriteit Persoonsgegevens (AP). Ondernemingen in Nederland die geconfronteerd worden met een datalek moeten dit binnen de 72 uur aan deze autoriteit melden.
​
​
Waarom is er een meldplicht datalekken?
De Europese Commissie wil met de invoering van de GDPR de privacy van de Europese burgers en hun rechten en vrijheden versterken en beschermen. Men spreekt hier ook wel over ‘betrokken personen’. Een datalek leidt soms tot nadelige gevolgen voor deze betrokken personen.
​
Het verplicht maken van het melden van een datalek zorgt voor meer bewustwording bij ondernemingen, zodat zij op een betere en veiligere manier omspringen met de persoonlijke gegevens die zij verzamelen en verwerken. Op die manier wordt er dan weer meer vertrouwen gecreëerd naar klanten en medewerkers toe.
​
​
Zijn er sancties?
Ja, op de niet-naleving van de GDPR worden sancties gegeven, waaronder boetes die hoog kunnen oplopen. Meer over deze boetes vind je hier.
​
Opmerkelijk is dat ook net de melding van een datalek aanleiding kan geven tot een verder onderzoek binnen een onderneming door de GBA en dat dit onderzoek zich dan verder kan uitstrekken tot punten die geen betrekking hebben op het datalek. Recent nog werd een beslissing geveld door de GBA, waarbij een onderneming op die manier werd veroordeeld tot een boete van 50.000 euro.
​
Een boete is iets wat je als onderneming liever vermijdt. Raadpleeg daarom de experten van Mr. Franklin voor al jouw vragen en gespecialiseerd advies op maat.
Wat kan Mr. Franklin voor jou betekenen?
Wanneer u het slachtoffer bent van een gegevenslek, kan Mr. Franklin je helpen om een inschatting te maken van hoe ernstig het datalek is aan de hand van een risico-analyse en evalueren of er al dan niet een melding moet gebeuren bij de Gegevensbeschermingsautoriteit. Indien een melding nodig is kunnen we de melding voor jou uitvoeren. Tevens kunnen wij je onderneming bijstaan in de communicatie naar klanten en/of de betrokkenen toe. Tot slot kunnen wij de oorzaken van het datalek helpen identificeren en kijken hoe je in de toekomst een soortgelijk veiligheidsincident kan voorkomen.
​
Wij kunnen u ook bijstaan in het uitvoeren van een GDPR audit of het opmaken van verplichte GDPR-documenten en procedures. Tevens worden wij regelmatig aangesteld als data protection officer (DPO) binnen een onderneming. Deze zorgt voor de GDPR-implementatie binnen jouw bedrijf. Een DPO is een onafhankelijk persoon en fungeert ook als contactpersoon met de bevoegde autoriteiten. Enkele zaken waarbij een DPO een rol kan spelen is het monitoren van het datalekregister, het beoordelen van mogelijke risico’s of het inlichten van de GBA bij een datalek.
​
Mr. Franklin telt drie gecertificeerde DPO’s die voor jou klaarstaan en jou kunnen helpen met het nakomen van de GDPR-verplichtingen. Lees meer over de service die een DPO voor jouw onderneming kan betekenen.
​
Door de jarenlange expertise van Mr. Franklin kunnen wij een antwoord bieden op al jouw vragen met betrekking tot datalekken en meer in het algemeen de GDPR. Aarzel dus niet om ons te contacteren.
Bescherm je bedrijf tegen GDPR-boetes en maak vrijblijvend een afspraak bij Mr. Franklin om te zien hoe wij u kunnen helpen.
GDPR-proof in max 3 maanden
OOK ZIJ DEDEN EEN BEROEP OP MR. FRANKLIN
Mr. Franklin levert ons een prima ondersteuning op vlak van juridische IT bijstand, GDPR, eigendomsrecht en financiële geschillen. Gedrevenheid, snelheid, passie voor het vak, correctheid zijn slechts enkele kernwoorden die Mr. Franklin & hun team typeren.
Xavier Goegebeur / Link Optimizer
Mr. Franklin geeft altijd kwalitatief werk voor een duidelijke prijs.
Alain Carels / Carbofisc