Wanneer er zich een inbreuk in verband met persoonsgegevens heeft voorgedaan dient u dit te melden binnen de 72 uur aan de Gegevensbeschermingsautoriteit (hierna GBA), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokken individuen.
Dergelijke inbreuk kan veroorzaakt worden door kwaad opzet, zoals een hacking van uw computer of de diefstal van een smartphone die u professioneel gebruikt. Maar ook het versturen van een e-mail naar een verkeerd adres, het verliezen van een usb-stick of het achterlaten van een dossier bij een klant maakt een inbreuk uit in verband met persoonsgegevens overeenkomstig artikel 33 GDPR.
Wanneer de inbreuk een hoog risico uitmaakt voor de rechten en vrijheden van de betrokkene moet deze persoon persoonlijk hiervan op de hoogte te worden gebracht. U dient dus bij ieder incident een risico-analyse te voeren om te bepalen of het incident al dan niet een hoog risico uitmaakt. En hier wringt het schoentje. Wat is een voldoende (hoog) risico?
De G29 stelt hierbij in een advies dat “dit risico bestaat als de inbreuk kan leiden tot lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn”.
Hierbij moet rekening gehouden worden met volgende factoren: – De aard van de inbreuk; – De aard, gevoeligheid en omvang van de persoonsgegevens; – Het gemak waarmee personen kunnen worden geïdentificeerd; – De ernst van de gevolgen voor de personen; – De bijzondere kenmerken van de persoon; – De bijzondere kenmerken van de verwerkingsverantwoordelijke; – Het aantal getroffen personen.
Om u een methode aan te bieden om dit risico-assessment uit te voeren verwijst G29 naar een rapport van ENISA: “Het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (ENISA) heeft aanbevelingen opgesteld voor een methode om de ernst van een inbreuk te beoordelen. Verwerkingsverantwoordelijken en verwerkers kunnen deze aanbevelingen nuttig vinden bij het opstellen van hun reactieplan voor het beheer van inbreuken. (ENISA: ‘Recommendations for a methodology of the assessment of severity of personal data breaches’, December 2013).”
Om u bij te staan in deze analyse lanceert Mr. Franklin een gratis online tool ‘Dr. Breach’ die volledig gebaseerd is op de aanbevelingen van ENISA. De tool laat u toe om aan de hand van enkele vragen een analyse te krijgen van de ernst van het GDPR-inbreuk. Hiervan kan u een rapport downloaden met advies rond de te nemen maatregelen. De tool is volledig anoniem en gratis te gebruiken.
Meer informatie rond de GDPR en onze diensten kan u hier vinden.
