>>>Geen boete voor een correct gemeld datalek (Timelex)

Geen boete voor een correct gemeld datalek (Timelex)

Auteurs: Geert Somers en Bernd Fiten (Timelex)

Publicatiedatum: 18/05/2020

Op 4 juni 2018 deed de functionaris voor gegevensbescherming (of DPO) van een telecombedrijf melding bij de Belgische Gegevensbeschermingsautoriteit (GBA) van een datalek. De GBA oordeelde echter op 8 mei 2020 om het bedrijf buiten vervolging te stellen en geen boete op te leggen. Uit onderzoek bleek immers dat het datalek correct werd gemeld en dat het bedrijf passende organisatorische en technische maatregelen had genomen. Een datalek geeft dus niet noodzakelijk aanleiding tot een boete. Een korte toelichting. 

1. Melding op basis van de Wet Elektronische Communicatie

Dat het om een telecombedrijf ging, kan worden afgeleid uit het feit dat de melding gebeurde op basis van artikel 114/1 van Wet van 13 juni 2005 betreffende de elektronische communicatie. De GBA maakte zelf niet bekend om welk bedrijf het ging, maar rond dezelfde periode maakte Orange een datalek bekend van klantgegevens. Er bestaan dus wel vermoedens dat het om dezelfde operator gaat.

2. Wat was er gebeurd?

Het telecombedrijf had een Master IT Service Agreement afgesloten met een vennootschap naar Indisch recht (hierna: de verwerker). De bedoeling was om de webshop van het telecombedrijf te vernieuwen.

De verwerker had echter een kopie van een productiedatabank met de historiek van bestellingen op een Amazon Web Server (AWS) Cloud gebruikt voor het testen van de nieuwe webshop. Dit gebeurde op een onveilige manier, waardoor de klantgegevens van 32.153 klanten van het telecombedrijf gedurende twee maanden op het internet toegankelijk waren. Uit forensische analyse van de logbestanden bleek dat de deze klantgegevens door derden werden geconsulteerd en/of gedownload.

3. Buitenvervolgingstelling

3.1. Geen schending van artikelen 5, 24, 32, 33, 34 en 35 GDPR

Uit het inspectieverslag bleek dat de Inspectiedienst vond dat het telecombedrijf als verantwoordelijke voor de verwerking niet voldoende verantwoording had verschaft om aan te tonen dat zij voldeed aan de artikelen 5, 24, 32, 33, en 34 GDPR.

De Geschillenkamer oordeelde echter dat het telecombedrijf wel de nodige passende technische en organisatorische maatregelen had genomen en dit ook kon aantonen. De GBA verwees hiervoor naar de contractuele afspraken tussen het telecombedrijf en de verwerker, in het bijzonder het contractueleverbod om persoonsgegevens voor testing te gebruiken:

  • Een bijlage genaamd “Data Privacy Requirements” bij de in 2014 tussen de partijen gesloten Master IT Service Agreement bevatte een clausule die stelde dat “vertrouwelijke gegevens [niet] mogen worden gekopieerd van een productieomgeving naar een niet-productieomgeving, tenzij de vertrouwelijke gegevens worden gemaskeerd”. 
  • Artikel 7 van de later tussen de partijen afgesloten verwerkersovereenkomst bevatte een clausule die stelde dat “de aanbieder verplicht [is] om bij de verwerking van Persoonsgegevens (…): r) Persoonsgegevens in niet-productieomgevingen anoniem te maken met behulp van industriestandaardtechnologie die nog steeds de ontwikkeling, het testen en de aanvaarding bij Aanbieders of [het telecombedrijf] mogelijk maakt”.

Daarnaast had het telecombedrijf:

  • de nodige interne risicobeoordelingsmethoden uitgewerkt en gedocumenteerd zowel wat betreft datalekken (de “Data Breach Severity Assessment Method”) als wat betreft de beoordeling van risico’s inherent aan alle verwerkingsactiviteiten (“Security Risk Management Policy”), 
  • werd de procedures en maatregelen geëvalueerd door middel van jaarlijkse externe audits,
  • op een transparante wijze gehandeld ten aanzien van de GBA en betrokkenen,
  • het datalek correct gemeld bij de GBA na de kennisgeving van het lek door de CERT.
  • de verwerker formeel in gebreke gesteld voor zijn fouten.

De GBA oordeelde dus dat er geen schending was van artikelen 5, 24, 32, 33, 34 en 35 GDPR.

3.2. Geen schending van artikel 28 GDPR

De Inspectiedienst stelde in het inspectieverslag dat de verwerkersovereenkomst pas op 6 juni 2018 werd “afgerond” door het telecombedrijf. De GDPR werd van toepassing op 25 mei 2018, waardoor het inspectieverslag stelt dat het telecombedrijf artikel 28 GDPR heeft geschonden.

Artikel 28.3 GDPR vereist dat de verwerking wordt geregeld in “een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt”. De GDPR vereist niet noodzakelijk een ondertekende overeenkomst, maar wel een instrument dat naar Belgisch recht bindend is.

Hoewel het telecombedrijf de verwerkersovereenkomst pas op 6 juni 2018 had ondertekend, had de verwerker deze wel al ondertekend voordat de GDPR van toepassing werd, namelijk op 21 mei 2018. De Geschillenkamer oordeelde bijgevolg dat er geen schending was van artikel 28 GDPR omdat er wilsovereenstemming bestond tussen de partijen over de verwerkersovereenkomst en dat deze tijdig door de verwerker werd ondertekend.

4. Wat te onthouden?

Uit deze zaak dient het volgende te worden onthouden:

  • Gebruik steeds dummy data voor testing. Testing dient steeds te gebeuren met dummy data. Het is belangrijk om de verwerker contractueel te verbieden om persoonsgegevens uit een productiedatabank te gebruiken voor testing.
  • Een datalek melden impliceert niet noodzakelijk een boete. Ook bedrijven die gepaste organisatorische en/of technische maatregelen hebben getroffen, kunnen slachtoffer worden van een datalek. Het melden van dit datalek impliceert echter niet noodzakelijk een boete van de GBA. Bovendien is het niet ondenkbaar dat een boete voor het niet melden van een meldenswaardig datalek hoger zal zijn dan het melden van een datalek, zelfs als u niet volledig in orde bent met de GDPR.  
  • Stel uw verwerker formeel in gebreke voor fouten. Hoewel de toezichthoudende autoriteit strikt gezien een boete zou kunnen opleggen aan de verwerkingsverantwoordelijke (het telecombedrijf) voor een fout van de verwerker, heeft de GBA dat in dit geval niet gedaan. De GBA verwijst naar de formele ingebrekestelling van de verwerker door het telecombedrijf.
  • Laat de verwerkersovereenkomst steeds ondertekenen. Hoewel uit het oordeel van de GBA zou kunnen worden afgeleid dat wilsovereenstemming over een verwerkersovereenkomst voldoende is om te spreken van een bindende overeenkomst, lijkt het toch veiliger om de verwerkersovereenkomst te laten ondertekenen door de verwerker. Want wat als de verwerker beweert dat er helemaal geen wilsovereenstemming was?

Lees hier het originele artikel

2020-05-18T10:06:31+00:00 18 mei 2020|Categories: Privacy recht|Tags: , , , , |