Wat moet ik doen wanneer een softwaretool die mijn onderneming gebruikt gehackt wordt? (Mr. Franklin)

Auteur: Olivier Sustronck (Mr. Franklin)

Eind oktober heeft een enorm datalek plaatsgevonden bij het Nederlandse sollicitatieplatform Homerun. Een hacker heeft toegang verkregen tot honderdduizenden sollicitatiegegevens van klanten van Homerun. Daarbij had de hacker onder meer toegang tot cv’s en sollicitatiebrieven. Homerun treedt op als verwerker voor haar klanten, te weten ondernemingen met een vacature. De klanten zijn op de hoogte gebracht. Maar wat moeten de klanten doen wanneer een verwerker van hen een datalek meldt?

Meld het datalek bij de GBA

Vooreerst is het van belang dat dit gegevenslek zo snel mogelijk wordt gemeld bij de Gegevensbeschermingsautoriteit (hierna GBA), voor zover dat nog niet is gebeurd. Op het moment dat uw verwerker uw onderneming heeft geïnformeerd over dit datalek, is de wettelijke termijn van 72 uur beginnen lopen. Hou deze termijn goed in de gaten en probeer deze zeker niet te overschrijden. Indien de datum toch overschreden wordt dient dit op het aanmeldingsformulier gemotiveerd te worden waarom het tijdstip is overschreden.

Onduidelijkheden omtrent (de impact van) het datalek zijn geen geldige reden om de termijn te overschrijden. In dit geval dient een voorlopige melding te gebeuren waarbij achteraf de bijkomende informatie moet bezorgd worden aan de GBA.

Meld het gegevenslek aan de betrokkenen

Indien er sprake is van een hoog risico voor de betrokkenen dienen alle betrokkenen wiens persoonsgegevens zijn gelekt hiervan persoonlijk geïnformeerd te worden. Er is sprake van een hoog risico wanneer bijzondere persoonsgegevens betrokken zijn of gevoelige gegevens zoals financiële gegevens, wachtwoorden… In het gegevenslek van Homerun waren onder meer loonsgegevens betrokken dus moeten de betrokkenen individueel op de hoogte gebracht worden door de klanten van Homerun die de tool gebruikten.

Meld het lek in het datalekregister

Een gegevenslek dient ook steeds intern geregistreerd te worden. Het is gebruikelijk om alle datalekken op te nemen in een datalekregister. De volgende informatie moet in het datalekregister staan:

  • Een korte omschrijving van het datalek

  • Datum waarop het datalek plaatsvond en de datum waarop uw onderneming is geïnformeerd door de gehackte verwerker

  • Categorie van betrokkenen en de betrokken persoonsgegevens

  • Datum waarop het datalek is gemeld aan de Gegevensbeschermingsautoriteit en betrokkenen, en de daadwerkelijke meldingen daarvan of de reden waarom er geen melding is gebeurd

  • Maatregelen die zijn genomen naar aanleiding van dit datalek om de schade te beperken of toekomstige soortgelijke incidenten te voorkomen

Let op bewaartermijnen

De omvang van het Homerun-datalek is enorm. Dat komt onder andere doordat de vooropgestelde bewaartermijnen niet werden nageleefd. Het wissen van persoonsgegevens is een belangrijke maatregel om de impact van datalekken te beperken.

Bijvoorbeeld voor gegevens van sollicitanten heet de GBA geen uitdrukkelijk standpunt ingenomen over de bewaartermijn maar wordt aangeraden om de gegevens na het einde van een sollicitatieprocedure binnen de maand te verwijderen. Mits uitdrukkelijke toestemming van de sollicitant kunnen de gegevens tot een periode van maximaal 2 jaar nog bewaard worden. In Nederland heeft de Autoriteit Persoonsgegevens zich hierover wél duidelijk uitgesproken en is de bewaartermijn mits toestemming beperkt tot maximaal één jaar.

Het niet toepassen van een strikte bewaartermijn van gegevens kan ervoor zorgen dat de GBA bijkomende onderzoeken voert volgend op de aangifte datalekken en zelfs sancties zoals boetes kan opleggen, die kunnen oplopen tot 10% van de omzet van uw onderneming.

Bron: Mr. Franklin