Claeys & Engels
Zoeken

Eerste hulp bij inbreuken in verband met persoonsgegevens

Newsflash
Gegevensbescherming en privacy

Stel dat uw onderneming getroffen wordt door een cyberaanval waardoor hackers in het bezit komen van persoonsgegevens van uw werknemers, of dat één van uw medewerkers een USB-stick of laptop verliest waarop persoonsgegevens van werknemers werden opgeslagen... In dat geval is er sprake van een inbreuk in verband met persoonsgegevens, maar wat moet u dan doen? Het advies van de werkgroep artikel 29 (WG 29) van 3 oktober 2017 brengt nu meer duidelijkheid omtrent de te nemen stappen.

De GDPR verplicht verwerkingsverantwoordelijken om een inbreuk in verband met persoonsgegevens te melden wanneer er een risico is voor de rechten en vrijheden van natuurlijke personen. Ook de verwerkers van persoonsgegevens spelen een rol, aangezien zij elke inbreuk moeten melden aan hun verwerkingsverantwoordelijke.

Er moet een onderscheid gemaakt worden tussen het melden van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en het meedelen van de inbreuk aan de betrokkenen.

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

Een verwerkingsverantwoordelijke is er niet toe gehouden om een inbreuk in verband met persoonsgegevens te melden wanneer er geen risico is voor de rechten en vrijheden van natuurlijke personen. Dat risico is er pas wanneer het verlies van persoonsgegevens voor de betrokkene bijvoorbeeld zou leiden tot identiteitsdiefstal of -fraude, financiële verliezen of reputatieschade.

Wanneer er dergelijk risico voorhanden is, moet een verwerkingsverantwoordelijke de inbreuk zonder enige onredelijke vertraging en (indien mogelijk) binnen de 72 uur nadat hij er kennis van genomen heeft, melden aan de toezichthoudende autoriteit. Indien dit niet kan binnen de 72 uur, moet de melding ook de redenen van de vertraging omvatten.

72 uur na “kennisname”

Volgens de werkgroep artikel 29 heeft een verwerkingsverantwoordelijke “kennisgenomen van een inbreuk” wanneer hij een redelijke mate van zekerheid heeft dat er zich een veiligheidsincident heeft voorgedaan waarbij persoonsgegevens waren betrokken. Dat zal van geval tot geval afhangen, maar het is belangrijk om meteen te onderzoeken of er bij een incident een inbreuk was op de persoonsgegevens en zo ja, actie te ondernemen en de inbreuk ter kennis te brengen indien nodig.

Om dit onderzoek te voeren, moet de verwerkingsverantwoordelijke beschikken over interne processen waarmee hij de inbreuk kan detecteren en aanpakken. Indien er dergelijke interne procedure is, wordt die ook best bekendgemaakt. Bovendien moet de verwerkingsverantwoordelijke alle inbreuken documenteren.

Wanneer er een Data Protection Officer (DPO, of functionaris voor de gegevensbescherming) werd aangesteld, is deze DPO in dit kader dé contactpersoon voor de toezichthoudende autoriteit en de betrokkenen.

Wanneer de inbreuk een groot risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet de verwerkingsverantwoordelijke de inbreuk immers ook meedelen aan de betrokkenen. De verwerkingsverantwoordelijken kunnen bij de toezichthoudende autoriteit advies inwinnen om te weten of de getroffen personen al dan niet geïnformeerd moeten worden.

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkenen zonder onredelijke vertraging

De verwerkingsverantwoordelijke moet de betrokkenen zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk grote risico’s met zich meebrengt voor zijn rechten en vrijheden. Om dat te beoordelen moet de verwerkingsverantwoordelijke rekening houden met de specifieke omstandigheden. Wanneer er bijvoorbeeld medische gegevens in handen komen van onbevoegde partijen, zal het risico voor de rechten en vrijheden van de betrokkene groter zijn dan wanneer de medische gegevens gewoon verloren gaan.

Indien er een groot risico is voor de rechten en vrijheden van de betrokkenen, moet de inbreuk aan de betrokkenen gemeld worden. De kennisgeving dient zowel de aard van de inbreuk te vermelden, als aanbevelingen over hoe de persoon in kwestie de mogelijke negatieve gevolgen kan beperken (bijvoorbeeld door zijn wachtwoord te wijzigen).

In principe moeten de betrokkenen individueel worden ingelicht, tenzij dat disproportioneel is. In dat geval mogen de betrokkenen via een algemeen bericht worden geïnformeerd, bijvoorbeeld door een banner op de website, een newsletter of een algemene e-mail. Het belangrijkste is dat er zoveel mogelijk betrokkenen worden bereikt en dat de communicatie in een voor de betrokkenen begrijpelijke taal wordt opgesteld.

Administratieve geldboete

Indien een inbreuk niet wordt gerapporteerd (aan de toezichthoudende autoriteit of aan de betrokkene), kan dat leiden tot een administratieve geldboete van 10.000.000 EUR of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar, indien dat cijfer hoger is.

> Actiepunt

Werk een plan uit om inbreuken te detecteren en te beheersen, het risico voor natuurlijke personen te beoordelen en de inbreuk mee te delen aan de betrokken personen indien nodig. De melding aan de toezichthoudende autoriteit moet ook deel uitmaken van dit plan.

Voorbereiding

Werk een actieplan uit om:

  • inbreuken in verband met persoonsgegevens te kunnen detecteren en te kunnen beheersen;
  • het risico voor de betrokkenen te kunnen beoordelen;
  • de inbreuk mee te kunnen delen aan de toezichthoudende autoriteit en indien nodig aan de betrokkenen.

U stelt een veiligheidsincident vast of u wordt hiervan op de hoogte gesteld en neemt kennis van een inbreuk op de persoonsgegevens

Stap 1: ga na of er een risico is voor de rechten en vrijheden van de betrokkenen (identiteitsdiefstal  of -fraude, reputatieschade...)

  • Nee? U moet de toezichthoudende autoriteit / de betrokkenen niet inlichten
  • Ja? U moet de toezichthoudende autoriteit inlichten binnen de 72u na kennisnam

Stap 2: ga na of de inbreuk een groot risico meebrengt voor de rechten en vrijheden van de betrokkenen

  • Nee? U hoeft de inbreuk niet mee te delen aan de betrokkenen
  • Ja? U moet de inbreuk melden aan de getroffen betrokkenen en hen informeren over de stappen die zij kunnen ondernemen om de schade te beperken

Stap 3: documenteer alle inbreuken in verband met persoonsgegevens (incl. feiten, gevolgen en genomen corrigerende maatregelen).