Hulp bij een datalek

Datalek

De Europese Unie houdt strikt toezicht op de veilige verwerking van persoonsgegevens in het bedrijfsleven. Zo stelt de GDPR dat bedrijven niet alleen een verplicht register van hun persoonsgegevensverwerkingen moeten bijhouden, maar ook hun datalekken moeten registreren in een “datalekkenregister” en verplicht zijn om datalekken te melden. Wat de meldingsplicht inhoudt, leest u in deze blog.

De GDPR definieert een datalek als een “inbreuk op de beveiliging die resulteert in onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot gegevens die worden verzonden, opgeslagen of anderszins verwerkt.”
We spreken van datalekken wanneerin persoonsgegevens handen vallen van derden die geen toegang hebben tot die gegevens. Een datalek kan bijvoorbeeld het gevolg zijn van een beveiligingsprobleem. Het kan gaan om een uitgelekt computerbestand, een cyberaanval, een gestolen laptop, een verloren USB-stick, een papieren inventaris van klantgegevens of zelfs een verloren bedrijfstelefoon.
Een voorbeeld dat enkele maanden geleden in het nieuws kwam, was een gehackte digitale wachtkamer. Meer dan 550.000 patiëntendossiers werden gelekt door beveiligingsfouten in webapplicaties en het gebruik van verouderde code. Het huisaartsen-boekingsplatform is bekritiseerd omdat het het datalek negeert zonder de getroffen consumenten zelf te informeren. Dit bevestigt het belang van het versleutelen van kritieke gegevens in webapplicaties, evenals sterke onderhoudsprocedures voor het updaten van de broncode van websites en webapplicaties. Ook volgt u best de Europese richtlijnen over de verwerking van persoonsgegevens via onlinediensten en mobiele applicaties.

Waarom is de meldplicht een datalek nuttig?

In 2015 deed Beltug, de grootste vereniging van technologiebedrijven in België, een onderzoek naar de bekendheid van Belgische bedrijven met de wetgeving inzake datalekken. Als gevolg van de confrontatie weet minder dan de helft van de Belgische bedrijven dat. Dat de privacywetgeving in 1995 is begonnen en in de praktijk weinig sancties kent, kan daar veel mee te maken hebben. Europa wil er echter voor zorgen dat de privacy en gegevens van haar inwoners zo goed mogelijk worden beschermd.
Onder andere om ervoor te zorgen dat de rechten van betrokkenen nauwlettend worden bewaakt en dat gegevensbescherming bij onze bedrijven groot en klein op de agenda staat, legt de GDPR een meldplicht datalekken op.

Wat zegt de GDPR over datalekken?

Wanneer uw bedrijf te maken krijgt met een datalek, moet u dit goed doen. Er zijn drie mogelijke acties die u moet ondernemen na een inbreuk op de gegevensbeveiliging:

Datalekken registreren in een intern register

Als verwerkingsverantwoordelijke moet u een register bijhouden van alle inbreuken, inclusief feiten, gevolgen en genomen corrigerende maatregelen. Ook als de juiste beveiligingsmaatregelen zijn getroffen en er geen risico is op een inbreuk, wilt u dit toch vastleggen in het register. Denk bijvoorbeeld aan de smartphone die u bent vergeten in een andere vestiging met pushmeldingen ingeschakeld.

Melding van DPA

De Belgische Gegevensbeschermingsautoriteit moet uiterlijk binnen 72 uur op de hoogte worden gebracht van een datalek, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico vormt voor de rechten en vrijheden van de betrokkene. Dit moet van geval tot geval worden beoordeeld. Hierbij speelt onder meer de gevoeligheid van de data een belangrijke rol. De DPO of Functionaris Gegevensbescherming kan u helpen beoordelen of u melding moet maken bij de GBA.

Communicatie met relevant personeel

Als inbreuken op de bescherming van persoonsgegevens waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van betrokkenen, moeten ze rechtstreeks door de verwerkingsverantwoordelijke worden gemeld. In de praktijk is het ook de DPO van uw KMO of de verantwoordelijke voor de gegevensverwerking die deze rol vervult.
Op datalekken staan sancties.

Daarom kun je het beste zelf het initiatief nemen en snel handelen. Weet u niet zeker of een specifiek datalek gemeld moet worden? U kunt dan contact opnemen met de Belgische Gegevensbeschermingsautoriteit of uw DPO.
Hoe breng ik een gegevensbeschermingsautoriteit op de hoogte van een datalek?

Zoals hierboven vermeld, hoeft u niet elk datalek te melden bij een gegevensbeschermingsautoriteit. Vormt de inbreuk een ernstig risico voor de rechten en vrijheden van de betrokkene? In dat geval moet de melding van het datalek plaatsvinden binnen 72 uur nadat het datalek door jou als verwerkingsverantwoordelijke is geconstateerd. Kennisgevingen aan de Greater Bay Area kunnen online worden gedaan en moeten een aantal informatie bevatten, waaronder:
• de aard van de inbreuk in verband met persoonsgegevens;
• (waar mogelijk) de categorieën van betrokkenen en de hoeveelheid persoonsgegevens;
• de naam en contactgegevens van de functionaris voor gegevensbescherming (DPO) of een ander contactpunt waar de autoriteiten nadere informatie kunnen krijgen;
• mogelijke gevolgen van inbreuk;
• Maatregelen genomen of voorgesteld door de verwerkingsverantwoordelijke om de niet-naleving aan te pakken, bijvoorbeeld het beperken van eventuele nadelige gevolgen.
tip! Om de strakke deadline te halen, is het het beste om proactief de nodige procedures voor datalekken te ontwikkelen en passende technische en organisatorische beveiligingsmaatregelen te implementeren

Wanneer moet u een datalek melden aan een betrokkene?

In sommige gevallen moet u, naast de GBA, de betrokkene op de hoogte stellen van een datalek. Deze situatie doet zich voor wanneer de inbreuk een reëel en hoog risico inhoudt voor de rechten en vrijheden van de betrokken natuurlijke personen. De kennisgeving moet ook enige informatie bevatten en moet in duidelijke en begrijpelijke taal zijn gesteld.
De betrokkene moet ook de contactgegevens van de privacycontactpersoon of DPO krijgen, evenals informatie over de gevolgen van het datalek en de ondernomen acties.
Merk op! In bepaalde omstandigheden bent u op het moment van geschreven van deze blog niet verplicht een datalek aan de betrokkene te melden, zoals:
• de gegevens zijn versleuteld of onleesbaar gemaakt door versleuteling;
• Neem direct maatregelen om de impact te beperken;
• Rapportage vergde een onevenredige inspanning, dus besloot het bedrijf een algemeen publieksbericht over het lek uit te brengen.

Heeft de verwerker van mijn gegevens ook rapportageverplichtingen?

Ja! De verwerker is verplicht een datalek te melden aan de verwerkingsverantwoordelijke (uw contactpersoon of DPO). Bovendien moet dit gebeuren zodra een datalek wordt ontdekt.
Wij raden daarom aan om in de verwerkersovereenkomst tussen jouw bedrijf en haar verwerker een procedure vast te leggen, die de verwerker moet volgen bij constatering van een datalek. Dit legt ook een kortere meldplicht op dan de 72 uur waar uw KMO aan moet voldoen. Geef aan welke gegevens de verwerker moet verstrekken en binnen welke termijn.

Wat zijn de gevolgen van een datalek?

Gegevensbeschermingsautoriteiten kunnen boetes opleggen als bedrijven de privacy van betrokkenen in gevaar brengen of hun gegevens niet voldoende worden beschermd. Deze boetes kunnen naast of in de plaats komen van de te ondernemen actie, afhankelijk van de aard, opzet, ondernomen actie, aansprakelijkheid, eerdere overtredingen, mate van medewerking, voldoen aan certificering, etc.

Hoe gegevensbeveiliging verbeteren?

Het is duidelijk dat de EU serieus is in het bestrijden van cybercriminaliteit en het beschermen van de privacy van burgers. Zorg er dus voor dat uw bedrijf voldoet aan de AVG-vereisten en de meldingsverplichtingen voor datalekken. Tot slot wil ik nog 4 tips samenvatten waar je meteen mee aan de slag kunt:

Breng datastromen in kaart en beperk de hoeveelheid data

Bekijk welke gegevens en persoonlijke gegevens uw bedrijf momenteel gebruikt. Zijn al deze gegevens nodig? Verzamel en bewaar alleen de gegevens die u echt nodig heeft. Reinig de database regelmatig en verwijder onnodige gegevens om het overzicht te behouden.

Toegang tot gegevens beperken

Niet alle medewerkers binnen een bedrijf hebben toegang nodig tot alle (persoons)gegevens. Zorg er dus voor dat werknemers alleen toegang hebben tot de gegevens die ze nodig hebben om hun werk te doen, en laat gebruikers in geen geval beheerdersaccounts gebruiken

voldoende beveiliging bieden

Evalueer of audit uw beveiligingsmaatregelen regelmatig en kijk wat er moet worden aangepast om te voldoen aan de huidige normen. Maak van IT-beveiliging een prioriteit. Weet u niet zeker of uw bedrijf voldoende beveiligd is? Kijk eerst in de wachtwoorddatabase of er een wachtwoord voor uw zakelijke e-mailaccount op internet staat. Nodig vervolgens IT-beveiligingsexperts uit die zwakke punten kunnen identificeren en verbeteren.

Cookie	Duur	Omschrijving
_GRECAPTCHA	5 maanden 27 dagen	Deze cookie is ingesteld door de Google recaptcha-service om bots te identificeren om de website te beschermen tegen kwaadaardige spamaanvallen.
cookielawinfo-checkbox-advertisement	1 jaar	Deze cookie, ingesteld door de GDPR Cookie Consent-plug-in, wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Advertentie" vast te leggen.
cookielawinfo-checkbox-analytics	1 jaar	Deze cookie wordt ingesteld door de plug-in GDPR Cookie Consent. De cookies worden gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Analytics" op te slaan.
cookielawinfo-checkbox-functional	1 jaar	De cookie wordt ingesteld door de GDPR Cookie Consent-plug-in om de gebruikerstoestemming voor de cookies in de categorie "Functioneel" vast te leggen.
cookielawinfo-checkbox-necessary	1 jaar	Deze cookie wordt ingesteld door de plug-in GDPR Cookie Consent. De cookies worden gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Noodzakelijk" op te slaan.
cookielawinfo-checkbox-others	1 jaar	Deze cookie is ingesteld door de GDPR Cookie Consent-plug-in en wordt gebruikt om de gebruikerstoestemming voor cookies in de categorie "Overige" op te slaan.
CookieLawInfoConsent	1 jaar	De cookie wordt ingesteld door de GDPR Cookie Consent-plug-in en wordt gebruikt om op te slaan voor welke cookies de gebruiker al dan niet toestemming heeft gegeven voor het gebruik ervan. Het slaat geen persoonlijke gegevens op.
tawk_uuid_propertyId	6 maanden	Bezoekers volgen.
twk_idm_key	sessie	Beheer van bezoekersverbindingen.
viewed_cookie_policy	11 maanden	De cookie wordt ingesteld door de GDPR Cookie Consent-plug-in en wordt gebruikt om op te slaan of de gebruiker al dan niet toestemming heeft gegeven voor het gebruik van cookies. Het slaat geen persoonlijke gegevens op.

Cookie	Duur	Omschrijving
_fbp	3 maanden	Deze cookie wordt door Facebook ingesteld om advertenties weer te geven op Facebook of op een digitaal platform dat wordt aangedreven door Facebook-advertenties, na een bezoek aan de website.
fr	3 maanden	Facebook stelt deze cookie in om relevante advertenties aan gebruikers te tonen door het gebruikersgedrag op internet te volgen, op sites die een Facebook-pixel of sociale plug-in van Facebook hebben.
VISITOR_INFO1_LIVE	5 maanden 27 dagen	Een cookie die door YouTube is ingesteld om de bandbreedte te meten die bepaalt of de gebruiker de nieuwe of oude spelerinterface krijgt.
YSC	sessie	YSC-cookie is ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.
yt-remote-connected-devices	Aanhoudend	YouTube plaatst deze cookie om de videovoorkeuren van de gebruiker op te slaan met behulp van embedded YouTube-video.
yt-remote-device-id	Aanhoudend	YouTube plaatst deze cookie om de videovoorkeuren van de gebruiker op te slaan met behulp van embedded YouTube-video.