Artificiële intelligentie in het HR-proces:
juridische aandachtspunten

Mr. Inger Verhelst en mr. Matthias Vandamme (Claeys & Engels)

Webinar op vrijdag 7 februari 2025


Marketingrecht: juridisch anticiperen
op de razendsnelle evoluties

Mr. Tom Heremans (CMS)

Webinar op donderdag 14 november 2024


Wenst u meerdere opleidingen
te volgen bij LegalLearning?

Overweeg dan zeker ons jaarabonnement 

 

Krijg toegang tot +150 opleidingen

Live & on demand webinars

Voor uzelf en/of uw medewerkers

Meldplicht bij incidenten onder de GDPR en de Belgische NIS2-wet (Monard Law)

Auteurs: Kristof Zadora en Dylan Verhulst (Monard Law)

De meldplicht bij incidenten is een essentieel onderdeel van zowel de Algemene Verordening Gegevensbescherming (beter bekend als de “GDPR”) als de Belgische Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (beter bekend als de “NIS2-wet”). Die regelgevingen hebben tot doel de veiligheid en bescherming van persoonsgegevens en netwerk- en informatiesystemen te waarborgen. Toch verschillen ze op verschillende vlakken. In deze nieuwsbrief zullen we de gelijkenissen en verschillen betreffende de melding van incidenten nader toelichten.

1. Zijn de GDPR en de NIS2-wet wel van toepassing op mijn organisatie?

Om de meldplicht bij incidenten onder de GDPR en de NIS2-wet te begrijpen, is het noodzakelijk om even stil te staan bij het toepassingsgebied van beide regelgevingen.

De GDPR heeft een zeer ruim toepassingsgebied en is kort samengevat gericht op de bescherming van persoonsgegevens van EU burgers en de verwerking van persoonsgegevens door EU organisaties of organisaties die zich richten op de EU markt.

Het toepassingsgebied van de NIS2-wet is eveneens ruim en is in sterke mate uitgebreid ten opzicht van haar voorganger.

De NIS2-wet is gericht op de beveiliging van netwerk- en informatiesystemen en is van toepassing op een wijd scala aan organisaties. Een uitgebreide bespreking van het toepassingsgebied van de NIS2-wet kan u terugvinden in onze eerdere nieuwsbrief via volgende hyperlink: https://monardlaw.be/nl/stories/ingelicht/nis2-cybersecurity-met-tanden .

Het toepassingsgebied van de GDPR en de NIS2-wet is dus verschillend, maar interferentie is zeker mogelijk. Elke organisatie die onder het toepassingsgebied van de NIS2-wet valt en in het kader van haar activiteiten persoonsgegevens verwerkt, is immers ook onderworpen aan de bepalingen van de GDPR. Het is dan ook belangrijk voor uw organisatie om met beide regelgevende kaders rekening te houden.

2. Wat houdt een “incident” precies in?

Beide regelgevingen hanteren ook verschillende maar gelijkaardige definities van incidenten. Een incident onder de GDPR – beter bekend als een “datalek” – heeft uiteraard betrekking op persoonsgegevens. Onder de NIS2-wet wordt de term “incident” gehanteerd, waarbij de term “significant” incident relevant is voor de meldplicht van incidenten voor organisaties die onder het toepassingsgebied van de NIS2-wet vallen.

Een datalek kan vaak en in verschillende scenario’s voorkomen. De GDPR definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens”.

Samengevat onderscheiden we drie soorten van datalekken, namelijk persoonsgegevens die:

  • op ongeoorloofde of onrechtmatige wijze openbaar worden gemaakt door of geraadpleegd worden door een ontvanger die niet gemachtigd is om de gegevens te ontvangen (of er toegang toe te hebben), of enige andere vorm van verwerking die in strijd is met de AVG (inbreuk op vertrouwelijkheid);
  • niet toegankelijk of vernietigd zijn op een onopzettelijke of ongeoorloofde manier, waarbij de niet-toegankelijkheid hetzij permanent hetzij tijdelijk kan zijn voor zover dat een impact heeft op de rechten en vrijheden van natuurlijke personen (inbreuk op beschikbaarheid);
  • gewijzigd zijn op een onopzettelijke of ongeoorloofde manier (inbreuk op integriteit).

Een combinatie van twee of meer van de bovengenoemde soorten datalekken geldt ook als een datalek.

We spreken dus niet alleen van een datalek in de gevallen waarbij personen opzettelijk of te kwader trouw (bv. hackers) persoonsgegevens proberen te bemachtigen of de toegang ertoe blokkeren. Ook kleinere inbreuken, die misschien minder ingrijpend lijken of zijn, vormen datalekken. Het kan overigens zowel gaan over fysieke dragers als over bestanden op een netwerk.

Onder de NIS2-wet wordt een “incident” gedefinieerd als een “gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt”.

Samengevat kunnen we concluderen dat de concepten van “incident” onder de GDPR en de NIS2-wet beide gericht zijn op beveiligingsinbreuken en -gevaren, waarbij de GDPR zich toespitst op incidenten betreffende persoonsgegevens en de NIS2-wet op incidenten betreffende netwerk- en informatiesystemen.

3. Incident geïdentificeerd: welke meldplichten gelden er voor mijn organisatie?

Ook wanneer we de effectieve meldplicht bij incidenten onder de GDPR en de NIS2-wet beschouwen, valt het op dat we zowel gelijkenissen als verschillen kunnen identificeren.

Meldplicht bij incidenten onder de GDPR

Onder de GDPR dienen organisaties die als verwerkingsverantwoordelijke optreden, elk datalek binnen 72 uur na kennisname daarvan aan de Belgische Gegevensbeschermingsautoriteit te melden, voor zover als het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Daarnaast is ook mogelijk dat het datalek aan de betrokkenen gecommuniceerd dient te worden, namelijk wanneer het datalek een groot risico inhoudt voor de rechten en vrijheden van betrokkenen.

Wanneer uw organisatie optreedt als verwerker en er treedt een datalek op, dan dient uw organisatie de verwerkingsverantwoordelijke zonder onredelijke vertraging na kennisname van het datalek op de hoogte te brengen en de belangrijkste informatie over het datalek mee te delen.

Meldplicht bij incidenten onder de NIS2-wet

De NIS2-wet legt aan organisaties die binnen haar toepassingsgebied vallen een verplichting op om zogenaamde “significante incidenten” te melden aan het nationale computer security incident response team (CSIRT). De NIS2-wet definieert “significante” incidenten als elk incident dat significante gevolgen heeft voor de dienstverlening in de zeer kritieke sectoren of andere kritieke sectoren van de bijlagen I en II van de NIS2-wet en dat:

  1. een ernstige operationele verstoring van de dienstverlening in die sectoren heeft veroorzaakt of kan veroorzaken, of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
  2. andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Indien er sprake is van een “significant” incident, voorziet de NIS2-wet in een cascade aan meldplichten. De eerste deadline daarbij is reeds vastgesteld op 24 uur na kennisname van het significante incident. Een eenduidige en efficiënte procedure voor het behandelen van incidenten is bijgevolg onontbeerlijk om aan de meldplichten van uw organisatie onder de NIS2-wet te kunnen voldoen.

4. Conclusie

Hoewel de GDPR en de NIS2-wet beide meldplichten bevatten die gericht zijn op de bescherming van persoonsgegevens en netwerk- en informatiesystemen, verschillen ze qua toepassingsgebied en specifieke vereisten.

Voor uw organisatie is het dan ook essentieel om een goed overzicht te bewaren van de vereisten onder beide regelgevingen en een concrete beoordeling te maken per incident. We raden aan om u voor te bereiden door onder andere een duidelijke procedure uit te werken. Op die manier kan uw organisatie tijdig schakelen in geval van een incident en kan uw organisatie de verregaande sancties uit beide regelgevingen vermijden.

Bron: Monard Law

» Bekijk alle artikels: IT & IP, Privacy & Gegevensbescherming

Boeken in de kijker: