Kennisgeving van een inbreuk op persoonsgegevens in de sector elektronische communicatie: toelichting

De wet van 13 juni 2005 betreffende de elektronische communicatie verplicht de ondernemingen die openbare elektronische-communicatiediensten aanbieden om inbreuken in verband met persoonsgegevens te melden aan de Privaycommissie
Wat is een inbreuk op persoonsgegevens?
Wie moet een inbreuk melden bij de Autoriteit?
Binnen welke termijn moet de kennisgeving gebeuren?
Aan wie gebeurt de kennisgeving?
Kennisgeving aan de Autoriteit
Kennisgeving aan abonnees en particulieren
Hoe moet worden beoordeeld of de inbreuk een aantasting is van persoonsgegevens of privacy van een abonnee of particulier?
In welke gevallen moet de onderneming de inbreuk op de persoonsgegevens van abonnees en particulieren niet melden?

Artikel 2, 68° van de wet van 13 juni 2005 betreffende de elektronische communicatie (de "WEC") definieert een inbreuk op persoonsgegevens als een "inbreuk op de beveiliging, die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronische-communicatiedienst (…)."

Bijgevolg moeten er drie elementen samenvallen om te kunnen spreken van een "inbreuk" op persoonsgegevens:

  • er is sprake van een of meer verwerkingen van persoonsgegevens;
  • die gegevens worden verwerkt voor een levering van een openbare elektronische communicatiedienst in een EU-lidstaat;
  • er is vastgesteld dat de beschikbaarheid (vernietiging, verlies, …), integriteit (wijziging, vervalsing, …) of vertrouwelijkheid (niet-geautoriseerde vrijgave of toegang) van die gegevens is aangetast.

Daaruit vloeit voort dat een aantasting van de beveiliging of het verlies van integriteit van een netwerk, die gevolgen heeft voor de werking van die netwerken of diensten maar waarbij geen persoonsgegevens betrokken zijn, geen inbreuk kan zijn op persoonsgegevens zoals bedoeld in artikel 2, 68° van de WEC. Maar dergelijke inbreuken moeten krachtens artikel 114/1, §2 van de WEC wel worden gemeld bij het BIPT.

Artikel 114/1, §3 van de WEC bepaalt dat de ondernemingen die openbare elektronische communicatiediensten aanbieden, dergelijke inbreuken aan de Autoriteit moeten melden.

De ondernemingen die openbare elektronische communicatiediensten aanbieden, moeten in principe bij het BIPT aangifte doen van hun activiteiten. De lijst van die ondernemingen is te vinden op de website van het instituut.

De andere personen die bij het gegevenslek betrokken zijn dienen dit niet te melden aan de Autoriteit.

Niettemin bepaalt artikel 5 van de Verordening nr. 611/2013 van de Europese Gegevensbeschermingsautoriteit betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens dat in voorkomend geval de aanbieders die geen rechtstreekse contractuele overeenkomst hebben met de abonnees, onmiddellijk de uitbestedende aanbieder moet op de hoogte brengen wanneer zich een inbreuk in verband met persoonsgegevens voordoet.

De andere ondernemingen of personen die een gegevenslek vaststellen dat niet beantwoordt aan de definitie van artikel 2, 68° van de WEC kunnen echter dit gegevenslek melden aan de hand van het formulier dat ter beschikking gesteld wordt op de website van de Gegevensbeschermingsautoriteit.

Artikel 114/1, § 3 van de WEC voorziet erin dat ondernemingen die elektronische communicatiediensten aanbieden die toegankelijk zijn voor het publiek onverwijld de Autoriteit moeten in kennis stellen van deze inbreuk, alsook de abonnees en de particulieren die getroffen zijn door de inbreuk.

De termijnen voor de kennisgeving aan de Autoriteit zijn gespecificeerd in artikel 2 van Verordening 611/2013 van de Europese Gegevensbeschermingsautoriteit van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens op grond van Richtlijn 2002/58/EG van het Europees Parlement en de Raad betreffende privacy en elektronische communicatie. Dit artikel bepaalt het volgende:

  • de kennisgeving moet waar mogelijk aan de Autoriteit worden bezorgd binnen de 24 uur nadat de inbreuk werd vastgesteld;
  • als de onderneming niet alle vereiste informatie binnen de voormelde termijn van 24 uur kan bezorgen, kan ze overgaan tot een kennisgeving in 2 stappen:
    • in een eerste kennisgeving binnen de 24 uur bezorgt de onderneming de in het kennisgevingsformulier opgesomde informatie die beschikbaar is;
    • in een tweede kennisgeving en binnen de 72 uur na de eerste kennisgeving vult de onderneming de eerder verstrekte informatie verder aan.

Bovendien bepaalt artikel 3.3 van de Verordening nr. 611/2013 dat de kennisgeving aan de abonnee of de andere persoon geschiedt zonder onnodige vertraging na opsporing van de inbreuk in verband met persoonsgegevens.

In alle gevallen wordt de kennisgeving gericht aan de Autoriteit, die een kopie aan het BIPT bezorgt. Bovendien moet in sommige gevallen een kennisgeving worden verricht aan de personen betrokken bij inbreuk, namelijk de abonnee en particulier.

Kennisgeving aan de Autoriteit gebeurt via een formulier, dat via de e-formsapplicatie verstuurd moet worden. Het betreft een beveiligd formulier dat ook zal worden bezorgd aan het BIPT, dat overigens samen met de Autoriteit de bevoegdheid deelt om te controleren of de geldende regelgeving wordt nageleefd. Meer uitleg is terug te vinden in de e-formshandleiding.

Wanneer er sprake is van een inbreuk op persoonsgegevens of privacy van een abonnee of particulier – stelt de onderneming ook die abonnee of particulier daarvan in kennis en dit onmiddellijk nadat zij die inbreuk heeft vastgesteld.

  • De onderneming meldt de inbreuk van persoonsgegevens aan de abonnee of particulier met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen en die beveiligd zijn overeenkomstig de regels van artikel 3 van Verordening 611/2013. Als het onmogelijk is om de benadeelde personen te identificeren, mag de onderneming die personen inlichten via de media, hoewel zij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen;
  • De kennisgeving aan de abonnee of particulier is in duidelijke taal opgesteld en is makkelijk te begrijpen. Hij moet hun tenminste de hiernavolgende informatie verstrekken:
    • naam van de onderneming,
    • identiteit en contactgegevens van de afgevaardigde voor de gegevensbescherming of een ander aanspreekpunt waar bijkomende informatie kan worden verkregen,
    • samenvatting van het incident dat de persoonsgegevens heeft aangetast,
    • vermoedelijke datum van het incident,
    • aard en strekking van de betrokken persoonsgegevens, overeenkomstig artikel 3, 2de lid,
    • denkbare gevolgen van de inbreuk op de persoonsgegevens voor de betrokken abonnee of de particulier, overeenkomstig artikel 3, 2de lid,
    • omstandigheden waaronder de inbreuk op de persoonsgegevens plaatsvond, overeenkomstig artikel 3, 2de lid,
    • de maatregelen die de onderneming heeft genomen om deze inbreuk op persoonsgegevens te verhelpen,
    • de maatregelen die de onderneming aanbeveelt om de mogelijke schade in te perken.

Het is primordiaal om vast te stellen dat de inbreuk een aantasting is van de persoonsgegevens of privacy van een abonnee of particulier aangezien de onderneming bij een negatief antwoord de abonnee of particulier daarvan niet moet in kennis stellen. Om de impact van de inbreuk op de bescherming van de privacy van individuen te kunnen beoordelen, moet de onderneming onder meer de volgende elementen in aanmerking nemen:

a) de aard en de strekking van de betrokken gegevens, vooral als het gaat om gegevens met financiële informatie, categorieën gevoelige gegevens als bedoeld in de artikelen 6 tot 8 van de Privacywet, locatiegegevens, online logbestanden, historiek van bezochte websites, gegevens die e-mails betreffen en gedetailleerde lijsten van telefoonoproepen;

b) de vermoedelijke gevolgen van de inbreuk op de persoonsgegevens voor de betrokken abonnee of particulier, met name de gevallen waarbij de inbreuk kan leiden tot diefstal of identiteitsfraude, een aanslag op de fysieke integriteit, psychische problemen, vernedering of reputatieschade, etc.;

c) de omstandigheden van de inbreuk op de persoonsgegevens, vooral de plaats waar de gegevens werden gestolen of het ogenblik waarop de onderneming beseft dat de gegevens in handen zijn van niet gemachtigde derden.

De kennisgeving aan abonnees en particulieren in niet vereist indien minsten aan een van beide volgende hypothesen is voldaan:

  • De omstandigheden wijzen uit dat de inbreuk de privacy of persoonsgegevens van de abonnee of particulier niet negatief zal aantasten. Om de impact te beoordelen op de gegevensbescherming of de privacy van individuele personen zal onder meer rekening gehouden worden met de criteria vervat in de Verordening nr. 611/2013 van de Europese Gegevensbeschermingsautoriteit, namelijk: de aard en de inhoud van de desbetreffende persoonsgegevens, de vermoedelijke gevolgen van de inbreuk op persoonsgegevens voor de betrokken abonnee of andere persoon en de omstandigheden van de inbreuk in verband met persoonsgegevens.
  • Wanneer de onderneming heeft aangetoond dat zij de gepaste technische beschermingsmaatregelen heeft ingevoerd en dat die maatregelen werden toegepast op de betrokken gegevens door de voornoemde inbreuk. Dergelijke technologische maatregelen maken de gegevens onbegrijpelijk voor iedere persoon die niet gemachtigd is er toegang tot te hebben. In dit laatste geval zal de onderneming in de kennisgeving alle elementen vermelden die het BIPT zullen toelaten te beoordelen of de getroffen maatregelen passend zijn. Krachtens artikel 4.2 van de Verordening nr. 611/2013 worden de gegevens beschouwd als onbegrijpelijk indien ze:

    a) op veilige wijze zijn versleuteld met een standaardalgoritme, de sleutel voor decryptie door geen enkele inbreuk gevaar heeft gelopen en de sleutel voor decryptie zodanig werd gegenereerd dat personen zonder geautoriseerde toegang de sleutel met de beschikbare technologische middelen niet kunnen vinden; of

    b) zijn vervangen door een met een cryptografisch versleutelde hashfunctie berekende hashwaarde, de sleutel die hiervoor werd gebruikt door geen enkele inbreuk gevaar heeft gelopen en deze voor datahashing gebruikte sleutel zodanig is gegenereerd dat personen zonder geautoriseerde toegang de sleutel niet kunnen vinden met de beschikbare technologische middelen.

  • Bovendien, wanneer, in uitzonderlijke gevallen, het risico bestaat dat de kennisgeving aan de abonnee of particulier de doeltreffendheid van het onderzoek naar de inbreuk op de persoonsgegevens in de weg zou staan, mag de onderneming de kennisgeving uitstellen. In dat geval geeft de onderneming op het kennisgevingsformulier aan dat zij een dergelijke toelating wenst en omschrijft zij de redenen.