Melden datalek: onderneem tijdig actie (Mr. Franklin)

Privacy & Gegevensbescherming | 18 januari 2023

Auteur: Olivier Sustronck (Mr. Franklin)

In 2021 ontving de Gegevensbeschermingsautoriteit (GBA) 1432 meldingen van gegevenslekken. Dit is een stijging van 36% ten opzichte van 2020. Ook in 2022 zal naar verwachting het aantal meldingen van datalekken blijven sterk stijgen.

De Algemene verordening gegevensbescherming (AVG), ook wel de GDPR genoemd, verplicht bedrijven die onder het toepassingsgebied van de verordening vallen maatregelen te nemen bij eventuele datalekken. Er moet niet alleen een register bijgehouden worden waarin alle datalekken worden geregistreerd, bedrijven moeten ook een eventueel datalek melden aan de bevoegde toezichthoudende autoriteit persoonsgegevens. In België is dit de Gegevensbeschermingsautoriteit (GBA).

Wat is een datalek?

Er is sprake van een datalek zodra persoonsgegevens dreigen ongeoorloofd openbaar te worden gemaakt, verloren te gaan, vernietigd of gewijzigd te worden of onbeschikbaar te zijn. Hierbij is het niet nodig dat er effectief data gebruikt worden door een derde. Het feit dat een onbevoegde toegang kan hebben tot persoonsgegevens is voldoende.

Zo is er sprake van een datalek wanneer een computer gehackt wordt die persoonsgegevens bevat, los van het feit of deze gegevens gekopieerd of beschadigd worden. Kwaad opzet is geen voorwaarde om van een datalek te kunnen spreken. Wanneer een USB-stick verloren gaat of een e-mail per ongeluk naar het verkeerde adres wordt gestuurd vindt er een datalek plaats binnen een kantoor. Meer zelfs, het hoogste risico op incidenten die tot een datalek leiden, worden veroorzaakt door veelal onbewuste vergissingen van medewerkers, personeelsleden of verwerkers.

Ook tijdelijke incidenten kunnen datalekken uitmaken, zelfs indien een incident geen gevolgen heeft voor de getroffen personen. Zo is er sprake van een datalek indien een onderneming geen nieuwsbrieven kan versturen omdat haar computersystemen niet beschikbaar zijn door een stroomstoring

Wat moet je doen bij een datalek?

Uitvoeren van een risico-analyse

Waneer er zich een datalek voordoet binnen een onderneming moet eerst een risico analyse worden uitgevoerd waarbij bekeken wordt welke schade en impact het gegevenslek heeft op de personen die betrokken zijn bij het datalek. Hierbij moet vooreerst rekening gehouden worden met de data context. Welk type persoonsgegevens is betrokken bij het incident? Betreft het bijzondere persoonsgegevens, persoonsgegevens met een verhoogde gevoeligheid zoals gerechtelijke of financiële gegevens of gaat het enkel om gewone persoonsgegevens zoals contactgegevens?

Na de analyse van de betrokken data dient de identificeerbaarheid van deze data te worden geanalyseerd. Is het mogelijk om aan de hand van de gegevens de betrokkene van wie de gegevens in het incident betrokken zijn, te identificeren? Is de persoon direct identificeerbaar, identificeerbaar mits verrijking van de data, bijvoorbeeld door actief op het internet naar een telefoonnummer of een adres te gaan zoeken of is het erg moeilijk om de data te linken aan een bepaalde persoon voor een derde?

Tot slot dient rekening gehouden te worden met de omstandigheden van het incident:

In welke mate zijn de gegevens effectief toegankelijk geweest voor onbevoegde personen en hoeveel personen hadden hier toegang toe? Het maakt namelijk een verschil uit of een verkeerde afzender een e-mail ontvangt met een kopie van een ontwerp van aangifte personenbelastingen in bijlage, of dit ontwerp van aangifte per ongeluk gedeeld werd op de website van het kantoor en voor iedere bezoeker van de website toegankelijk was.
In welke mate werd van de data gebruik gemaakt op een incorrecte of illegale manier? Werd de data aangepast of gewijzigd? Kan deze situatie nog rechtgezet worden en heeft dit gebruik blijvende gevolgen voor de betrokkene?
In welke mate is de data nog toegankelijk? Wanneer een ontwerp aangifte personenbelastingen in bijlage naar de verkeerde afzender gestuurd wordt is deze nog volledig toegankelijk. Indien de server van een kantoor een ransomware-aanval te verwerken heeft gekregen waarbij alle data versleuteld zijn, is deze data niet meer toegankelijk. Kan het probleem nog verholpen worden of is de data definitief verloren?
Was het incident het gevolg van kwaad opzet?
Was de data bijkomend beveiligd? Wanneer een USB-stick verloren gaat met de volledige inhoud van een strafrechtelijk dossier, maakt het een groot verschil uit indien de data op de stick geëncrypteerd zijn of niet.

De uitkomst van deze risicoanalyse dient te bepalen of het incident al dan niet een (hoog) risico inhoudt voor de rechten en vrijheden van de betrokkene.

Bijhouden van een intern register

De verwerkingsverantwoordelijke moet elk incident of datalek van persoonsgegevens bijhouden in een intern register van datalekken. Dit register moet de volgende informatie bevatten:

het tijdstip van het datalek;
een beschrijving van het datalek;
de gevolgen van het datalek;
de genomen maatregelen;
een risicoanalyse van het datalek (waarom er al dan niet een melding gebeurde aan de GBA).

Datalek melden

Wanneer het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen, moet dit meegedeeld worden aan de Gegevensbeschermingsautoriteit binnen de 72 uur. De termijn gaat in zodra de verwerkingsverantwoordelijke “in kennis” is van het datalek

Aan wie moet het datalek gemeld worden?

Wil je een GDPR klacht indienen? Een datalek dient zowel aan de bevoegde toezichthoudende autoriteit, dit is de Gegevensbeschermingsautoriteit (GBA), als aan de betrokken personen bij het datalek gemeld worden.

De melding van gegevenslekken bij de GBA gebeurt via een elektronisch formulier, dat beschikbaar is op de site van de GBA, via deze link. Dit formulier moet in één van de drie landstalen worden ingevuld en dient vervolgens via een webportaal te worden bezorgd.

In Nederland is de bevoegde toezichthoudende autoriteit de Autoriteit Persoonsgegevens (AP). Ondernemingen in Nederland die geconfronteerd worden met een datalek moeten dit binnen de 72 uur aan deze autoriteit melden.

De verwerkingsverantwoordelijke moet het datalek meedelen aan alle betrokkenen voor wie het datalek een hoog risico inhoudt voor zijn rechten en vrijheden. Deze personen moeten persoonlijk op de hoogte gebracht worden zodat zij zich gepast op de gevolgen kunnen voorbereiden en eventueel maatregelen kunnen nemen om de gevolgen te beperken. Hoewel voor deze meldplicht geen uitdrukkelijke termijn is opgenomen, spreekt het voor zich dat deze melding best zo snel mogelijk gebeurt.

Waarom is er een meldplicht datalekken?

De Europese Commissie wil met de invoering van de GDPR de privacy van de Europese burgers en hun rechten en vrijheden versterken en beschermen. Men spreekt hier ook wel over ‘betrokken personen’. Een datalek leidt soms tot nadelige gevolgen voor deze betrokken personen.

Het verplicht maken van het melden van een datalek zorgt voor meer bewustwording bij ondernemingen, zodat zij op een betere en veiligere manier omspringen met de persoonlijke gegevens die zij verzamelen en verwerken. Op die manier wordt er dan weer meer vertrouwen gecreëerd naar klanten en medewerkers toe.

Zijn er sancties?

Ja, op de niet-naleving van de GDPR worden sancties gegeven, waaronder boetes die hoog kunnen oplopen. Meer over deze boetes vind je hier.

Opmerkelijk is dat ook net de melding van een datalek aanleiding kan geven tot een verder onderzoek binnen een onderneming door de GBA en dat dit onderzoek zich dan verder kan uitstrekken tot punten die geen betrekking hebben op het datalek. Recent nog werd een beslissing geveld door de GBA, waarbij een onderneming op die manier werd veroordeeld tot een boete van 50.000 euro.