Datalek
De Europese Unie houdt strikt toezicht op de veilige verwerking van persoonsgegevens in het bedrijfsleven. Zo stelt de GDPR dat bedrijven niet alleen een verplicht register van hun persoonsgegevensverwerkingen moeten bijhouden, maar ook hun datalekken moeten registreren in een “datalekkenregister” en verplicht zijn om datalekken te melden. Wat de meldingsplicht inhoudt, leest u in deze blog.
De GDPR definieert een datalek als een “inbreuk op de beveiliging die resulteert in onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot gegevens die worden verzonden, opgeslagen of anderszins verwerkt.”
We spreken van datalekken wanneerin persoonsgegevens handen vallen van derden die geen toegang hebben tot die gegevens. Een datalek kan bijvoorbeeld het gevolg zijn van een beveiligingsprobleem. Het kan gaan om een uitgelekt computerbestand, een cyberaanval, een gestolen laptop, een verloren USB-stick, een papieren inventaris van klantgegevens of zelfs een verloren bedrijfstelefoon.
Een voorbeeld dat enkele maanden geleden in het nieuws kwam, was een gehackte digitale wachtkamer. Meer dan 550.000 patiëntendossiers werden gelekt door beveiligingsfouten in webapplicaties en het gebruik van verouderde code. Het huisaartsen-boekingsplatform is bekritiseerd omdat het het datalek negeert zonder de getroffen consumenten zelf te informeren. Dit bevestigt het belang van het versleutelen van kritieke gegevens in webapplicaties, evenals sterke onderhoudsprocedures voor het updaten van de broncode van websites en webapplicaties. Ook volgt u best de Europese richtlijnen over de verwerking van persoonsgegevens via onlinediensten en mobiele applicaties.
Waarom is de meldplicht een datalek nuttig?
In 2015 deed Beltug, de grootste vereniging van technologiebedrijven in België, een onderzoek naar de bekendheid van Belgische bedrijven met de wetgeving inzake datalekken. Als gevolg van de confrontatie weet minder dan de helft van de Belgische bedrijven dat. Dat de privacywetgeving in 1995 is begonnen en in de praktijk weinig sancties kent, kan daar veel mee te maken hebben. Europa wil er echter voor zorgen dat de privacy en gegevens van haar inwoners zo goed mogelijk worden beschermd.
Onder andere om ervoor te zorgen dat de rechten van betrokkenen nauwlettend worden bewaakt en dat gegevensbescherming bij onze bedrijven groot en klein op de agenda staat, legt de GDPR een meldplicht datalekken op.
Wat zegt de GDPR over datalekken?
Wanneer uw bedrijf te maken krijgt met een datalek, moet u dit goed doen. Er zijn drie mogelijke acties die u moet ondernemen na een inbreuk op de gegevensbeveiliging:
Datalekken registreren in een intern register
Als verwerkingsverantwoordelijke moet u een register bijhouden van alle inbreuken, inclusief feiten, gevolgen en genomen corrigerende maatregelen. Ook als de juiste beveiligingsmaatregelen zijn getroffen en er geen risico is op een inbreuk, wilt u dit toch vastleggen in het register. Denk bijvoorbeeld aan de smartphone die u bent vergeten in een andere vestiging met pushmeldingen ingeschakeld.
Melding van DPA
De Belgische Gegevensbeschermingsautoriteit moet uiterlijk binnen 72 uur op de hoogte worden gebracht van een datalek, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico vormt voor de rechten en vrijheden van de betrokkene. Dit moet van geval tot geval worden beoordeeld. Hierbij speelt onder meer de gevoeligheid van de data een belangrijke rol. De DPO of Functionaris Gegevensbescherming kan u helpen beoordelen of u melding moet maken bij de GBA.
Communicatie met relevant personeel
Als inbreuken op de bescherming van persoonsgegevens waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van betrokkenen, moeten ze rechtstreeks door de verwerkingsverantwoordelijke worden gemeld. In de praktijk is het ook de DPO van uw KMO of de verantwoordelijke voor de gegevensverwerking die deze rol vervult.
Op datalekken staan sancties.
Daarom kun je het beste zelf het initiatief nemen en snel handelen. Weet u niet zeker of een specifiek datalek gemeld moet worden? U kunt dan contact opnemen met de Belgische Gegevensbeschermingsautoriteit of uw DPO.
Hoe breng ik een gegevensbeschermingsautoriteit op de hoogte van een datalek?
Zoals hierboven vermeld, hoeft u niet elk datalek te melden bij een gegevensbeschermingsautoriteit. Vormt de inbreuk een ernstig risico voor de rechten en vrijheden van de betrokkene? In dat geval moet de melding van het datalek plaatsvinden binnen 72 uur nadat het datalek door jou als verwerkingsverantwoordelijke is geconstateerd. Kennisgevingen aan de Greater Bay Area kunnen online worden gedaan en moeten een aantal informatie bevatten, waaronder:
• de aard van de inbreuk in verband met persoonsgegevens;
• (waar mogelijk) de categorieën van betrokkenen en de hoeveelheid persoonsgegevens;
• de naam en contactgegevens van de functionaris voor gegevensbescherming (DPO) of een ander contactpunt waar de autoriteiten nadere informatie kunnen krijgen;
• mogelijke gevolgen van inbreuk;
• Maatregelen genomen of voorgesteld door de verwerkingsverantwoordelijke om de niet-naleving aan te pakken, bijvoorbeeld het beperken van eventuele nadelige gevolgen.
tip! Om de strakke deadline te halen, is het het beste om proactief de nodige procedures voor datalekken te ontwikkelen en passende technische en organisatorische beveiligingsmaatregelen te implementeren
Wanneer moet u een datalek melden aan een betrokkene?
In sommige gevallen moet u, naast de GBA, de betrokkene op de hoogte stellen van een datalek. Deze situatie doet zich voor wanneer de inbreuk een reëel en hoog risico inhoudt voor de rechten en vrijheden van de betrokken natuurlijke personen. De kennisgeving moet ook enige informatie bevatten en moet in duidelijke en begrijpelijke taal zijn gesteld.
De betrokkene moet ook de contactgegevens van de privacycontactpersoon of DPO krijgen, evenals informatie over de gevolgen van het datalek en de ondernomen acties.
Merk op! In bepaalde omstandigheden bent u op het moment van geschreven van deze blog niet verplicht een datalek aan de betrokkene te melden, zoals:
• de gegevens zijn versleuteld of onleesbaar gemaakt door versleuteling;
• Neem direct maatregelen om de impact te beperken;
• Rapportage vergde een onevenredige inspanning, dus besloot het bedrijf een algemeen publieksbericht over het lek uit te brengen.
Heeft de verwerker van mijn gegevens ook rapportageverplichtingen?
Ja! De verwerker is verplicht een datalek te melden aan de verwerkingsverantwoordelijke (uw contactpersoon of DPO). Bovendien moet dit gebeuren zodra een datalek wordt ontdekt.
Wij raden daarom aan om in de verwerkersovereenkomst tussen jouw bedrijf en haar verwerker een procedure vast te leggen, die de verwerker moet volgen bij constatering van een datalek. Dit legt ook een kortere meldplicht op dan de 72 uur waar uw KMO aan moet voldoen. Geef aan welke gegevens de verwerker moet verstrekken en binnen welke termijn.
Wat zijn de gevolgen van een datalek?
Gegevensbeschermingsautoriteiten kunnen boetes opleggen als bedrijven de privacy van betrokkenen in gevaar brengen of hun gegevens niet voldoende worden beschermd. Deze boetes kunnen naast of in de plaats komen van de te ondernemen actie, afhankelijk van de aard, opzet, ondernomen actie, aansprakelijkheid, eerdere overtredingen, mate van medewerking, voldoen aan certificering, etc.
Hoe gegevensbeveiliging verbeteren?
Het is duidelijk dat de EU serieus is in het bestrijden van cybercriminaliteit en het beschermen van de privacy van burgers. Zorg er dus voor dat uw bedrijf voldoet aan de AVG-vereisten en de meldingsverplichtingen voor datalekken. Tot slot wil ik nog 4 tips samenvatten waar je meteen mee aan de slag kunt:
Breng datastromen in kaart en beperk de hoeveelheid data
Bekijk welke gegevens en persoonlijke gegevens uw bedrijf momenteel gebruikt. Zijn al deze gegevens nodig? Verzamel en bewaar alleen de gegevens die u echt nodig heeft. Reinig de database regelmatig en verwijder onnodige gegevens om het overzicht te behouden.
Toegang tot gegevens beperken
Niet alle medewerkers binnen een bedrijf hebben toegang nodig tot alle (persoons)gegevens. Zorg er dus voor dat werknemers alleen toegang hebben tot de gegevens die ze nodig hebben om hun werk te doen, en laat gebruikers in geen geval beheerdersaccounts gebruiken
voldoende beveiliging bieden
Evalueer of audit uw beveiligingsmaatregelen regelmatig en kijk wat er moet worden aangepast om te voldoen aan de huidige normen. Maak van IT-beveiliging een prioriteit. Weet u niet zeker of uw bedrijf voldoende beveiligd is? Kijk eerst in de wachtwoorddatabase of er een wachtwoord voor uw zakelijke e-mailaccount op internet staat. Nodig vervolgens IT-beveiligingsexperts uit die zwakke punten kunnen identificeren en verbeteren.