geactualiseerd i.f.v. de AVG

Melding van gegevenslekken

De op een risicoanalyse gebaseerde beveiliging van persoonsgegevens en de meldplicht voor “inbreuken in verband met persoonsgegevens” aan de Autoriteit zijn belangrijke onderdelen van de AVG.

WANNEER IS ER EEN MELDPLICHT?

De meldplicht aan de Autoriteit geldt als er sprake is van een “risico voor de rechten en vrijheden van de betrokkene”. Het kan bijvoorbeeld gaan om een verlies van vertrouwelijkheid van een communicatie waardoor factuurgegevens, adressen,… tijdelijk zichtbaar zijn voor derden.

U hebt bovendien de verplichting om het gegevenslek mee te delen aan de betrokkene, wanneer er sprake is voor een hoog risico voor de betrokkene. Er bestaan verschillende methodes om hoge risico’s voor de betrokkenen in te schatten.

Voor de meldplicht in de telecomsector gelden op Belgisch en Europees vlak naast de AVG nog regels die gelijkaardig zijn. 

WIE MOET MELDEN BIJ DE AUTORITEIT?

De melding moet gebeuren door de verwerkingsverantwoordelijke, of door de verwerker indien de verwerkingsverantwoordelijke hierover expliciet schriftelijke afspraken heeft gemaakt met de verwerker.

Dankzij de melding kan de Autoriteit het risico van het gegevenslek inschatten samen met de verwerkingsverantwoordelijke van de gelekte gegevens, en kan zij aanbevelingen doen over de reductie van het risico voor de betrokkene, het naleven van de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

BINNEN WELKE TERMIJN?

De meldingstermijn bedraagt buiten de telecomsector maximaal 72 uur nadat het gegevenslek werd vastgesteld. Als de verwerkingsverantwoordelijke in eerste instantie over onvoldoende informatie beschikt om de aard van het probleem te onderzoeken, kan hij een eerste melding verrichten, en deze na onderzoek aanvullen met een bijkomende melding. Meer uitleg is te vinden in de handleiding bij het meldingsformulier.

AAN WIE?

In alle gevallen wordt de kennisgeving gericht aan de Autoriteit. Bovendien moet in sommige gevallen een kennisgeving worden verricht aan de betrokken personen, dus de personen van wie de gegevens gelekt zijn.

HOE GEBEURT DE KENNISGEVING AAN DE AUTORITEIT?

Omwille van de eenvoud gebeurt de kennisgeving aan de Autoriteit binnen en buiten de telecomsector via een webformulier.

HOE MOET DE KENNISGEVING AAN DE BETROKKENEN GEBEUREN?

De verwerkingsverantwoordelijke meldt het gegevenslek aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.

De kennisgeving aan de betrokken personen is in duidelijke taal opgesteld en is makkelijk te begrijpen. De Autoriteit beveelt aan om tenminste de hiernavolgende informatie verstrekken:

  • De aard van het probleem
  • Een korte beschrijving welke gegevens zijn geïmpacteerd
  • Een korte beschrijving welke maatregelen de verwerkingsverantwoordelijke heeft genomen om het probleem te verhelpen
  • De mogelijke gevolgen van het gegevenslek voor de betrokken personen,
  • Contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen (bijvoorbeeld de coördinaten van de DPO).

IN WELKE GEVALLEN MOET HET GEGEVENSLEK NIET AAN DE BETROKKENEN GEMELD WORDEN?

De DPO moet steeds worden betrokken bij elke aangelegenheid die de bescherming van persoonsgegevens betreft. Bij twijfel moet de DPO dus worden geconsulteerd over het al dan niet melden van het gegevenslek aan de betrokken personen.

IN WELKE GEVALLEN MOET HET GEGEVENSLEK NIET AAN DE AUTORITEIT GEMELD WORDEN?

Naast het geval dat de omstandigheden uitwijzen dat het gegevenslek de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verwerkingsverantwoordelijke de Autoriteit niet hoeft in te lichten over het gegevenslek:

  • wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
  • wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100)  getroffen is EN geen gevoelige gegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.

In geval van twijfel doet de verantwoordelijke toch best een melding bij de Autoriteit.

LOGGING VAN ELK INCIDENT

Zelfs indien de verwerkingsverantwoordelijke het gegevenslek niet meldt bij de Autoriteit, houdt hij best toch een logboek bij van incidenten. Dit bevat best een korte beschrijving van elk gegevenslek en een verklaring voor het niet-melden ervan.