De VS is al enkele weken in de ban van het Equifax-datalek. Persoonsgevens van maar liefst 143 miljoen Amerikanen werden er gehackt. Twee weken geleden werd bekend dat zowat alle e-mailaccounts van Deloitte werden gehackt en dat de hacking waarschijnlijk al een jaar geleden tot stand kwam en ongezien zijn gang kon gaan.
Ironisch genoeg is Equifax de organisatie waar de Amerikanen zich toe richten om zich tegen identiteitsdiefstal te beschermen en de identiteit te controleren van iemand. Deloitte levert diensten ter beveiliging tegen cyberaanvallen aan multinationals en banken.
Datalekken kan aldus de grootsten overkomen, net zoals de kleinsten. Om de ondernemingen
bewuster te laten omgaan met datalekken heeft de GDPR een belangrijke verplichting ingevoerd, met name de dubbele meldplicht bij datalekken.Wat is nu een datalek?
Wanneer is er sprake van een datalek?
Artikel 4, 12 GDPR definieert een datalek als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderzinds verwerkte gegevens.
Er doet zich met andere woorden een datalek voor zodra persoonsgegevens dreigen ongeoorloofd openbaar te worden gemaakt, verloren te gaan, vernietigd of gewijzigd te worden. Hierbij is het niet nodig dat er effectief data gebruikt worden door een derde. Het feit dat een onbevoegde toegang heeft tot de gegevens of de gegevens bij een verkeerde persoon terecht komen is voldoende.
Er is sprake van een datalek zodra persoonsgegevens bij een verkeerde persoon terecht komen
Zo is er sprake van een datalek wanneer een computer gehackt wordt die persoonsgegevens bevat, los van het feit of deze gegevens gekopieerd of beschadigd worden. Ook kwaad opzet is geen voorwaarde om van een datalek te kunnen spreken. Wanneer een usb-stick verloren gaat of een e-mail per ongeluk naar het verkeerde adres wordt gestuurd vindt er een datalek plaats.
Register van datalekken
Hoewel de verplichting niet uitdrukkelijk in de wet is opgenomen, kan de verwerkingsverantwoordelijke best een register bijhouden van alle datalekken waarvan hij kennis krijgt.
In dit register dienen volgende gegevens vermeld te worden:
• Wanneer het lek plaatsvond • Een korte beschrijving van het lek • Wat er gebeurd is met de gegevens • Hoeveel gegevens gelekt zijn • Van welke categorie personen de gegevens gelekt zijn • Welke soort gegevens • Gevolgen van de inbreuk • Genomen maatregelen (zowel schadebeperkend als preventief) • Wanneer de meldplicht voldaan werd en indien niet, de reden daarvoor
De reden waarom het bijhouden van dergelijk register een goede praktijk is, is tweevoudig. Vooreerst kan dergelijk register een nuttig document zijn om het aantal datalekken te monitoren en daar gevolgen uit te trekken naar de toekomst. Daarnaast kan het een handige document zijn om voor te leggen aan de Gegevensbeschermingsautoriteit (voormalige Privacy Commissie) om aan te tonen dat u bewust omgaat met datalekken en eventueel om uw motivering bij het nalaten van het melden van het datalek aan te tonen.
Een datalekregister bijhouden is zowel op organisatorisch vlak als naar de GBA nuttig
Meldplicht van een datalek
Het melden van een datalek aan de Gegevensbeschermingsautoriteit is met name niet altijd verplicht. De melding dient alleen te gebeuren wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In dat geval dient de melding te gebeuren binnen de 72 uren na kennisname van het lek door de verwerkingsverantwoordelijke. Maar deze verantwoording moet aangetoond kunnen worden. Om de evaluatie te maken kan de gratis online tool Dr. Breach gebruikt worden.
De melding aan de Gegevensbeschermingsautoriteit moet de volgende gegevens bevatten (art 33, 3 GDPR):
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Ieder datalek met een zekere impact is aan een dubbele meldplicht onderworpen
Meldplicht aan de betrokkene
Indien de inbreuk een waarschijnlijk hoog risico inhoudt voor de rechten en de vrijheden van natuurlijke personen, dient het datalek eveneens meegedeeld te worden aan de betrokkenen zelf.
Deze mededeling moet een omschrijving bevatten van de aard van het datalek, in passende en eenvoudige taal. Tevens moeten de contactgegevens van de DPO of een andere contactpersoon worden bezorgd, de (mogelijke) gevolgen van de inbreuk en de getroffen maatregelen.
Onder volgende voorwaarden is een meldplicht alsnog niet vereist indien: • De gegevens werden onbegrijpelijk gemaakt, bijvoorbeeld door versleuteling • Er maatregelen werden genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zullen voordoen • De mededeling onevenredige inspanningen zou vergen en de onderneming in een openbare mededeling of persbericht voorziet
Meldplicht door de verwerker
Tot slot is de verwerker verplicht om ieder datalek te melden aan de verwerkingsverantwoordelijke. Hij dient dit te doen zonder onredelijke vertraging na kennisname van het datalek. Er werd in de GDPR aldus geen uitdrukkelijke tijdsperiode voorzien waarin de verwerker de verwerkingsverantwoordelijke op de hoogte moet brengen.
Een goede praktijk bestaat erin om in de verwerkersovereenkomst een procedure op te nemen waaraan de verwerker moet voldoen bij het vaststellen van een datalek van persoonsgegevens van de verwerkingsverantwoordelijke. Daarin kan best beschreven worden welke gegevens hij dient mee te delen en binnen welke termijn na kennisname.
Meer informatie rond datalekken en onze diensten in het kader van de GDPR kan u hier vinden.