GDPR: Moet ik datalekken melden?
Al maanden is het al GDPR dat de klok slaat. Op 25 mei 2018 moeten alle Belgische ondernemers die gegevens van EU-burgers verzamelen, hun "GDPR-ei" leggen. En dit houdt o.m. de verplichting in om gegevenslekken of datalekken te melden.
Beheer en beveiliging van persoonsgegevens
GDPR staat voor General Data Protection Regulation (of ook Algemene Verordening Gegevensbescherming - AVG genoemd) en gaat over het beheren en beveiligen van persoonlijke gegevens van Europese burgers.
De GDPR geldt voor alle bedrijven -de grootte speelt geen rol- gevestigd in de EU die persoonlijke gegevens verzamelen en/of het gedrag van EU-burgers monitoren. Ook bedrijven buiten de EUR (EU + Noorwegen + IJsland + Liechtenstein) vallen onder de nieuwe wetgeving als zij goederen en/of diensten leveren aan EU-burgers.
Wat zijn persoonlijke gegevens?
Dit is alle informatie waardoor een natuurlijke persoon geïdentificeerd wordt of identificeerbaar is. Algemene kenmerken die niet gelinkt kunnen worden aan een persoon, zijn geen persoonsgegevens (bv. een algemeen e-mailadres zoals info@, contact@; een bedrijfsnaam zonder naam van persoon; een btw-nummer van het bedrijf). Een combinatie van algemene kenmerken kan een persoon wél identificeerbaar maken met gevolg dat het dan een persoonsgegeven wordt.
Sommige gegevens zijn door hun aard gevoelig en worden extra beschermd, zoals gegevens over politieke of religieuze opvattingen, lidmaatschap van de vakbond of genetische gegevens als DNA.
De impact van de GDPR is niet mis. Vanaf 25 mei 2018 moet u kunnen aantonen welke persoonsgegevens u verzamelt en hoe u die data gebruikt en beveiligt. De GDPR verplicht ook om een gegevenslek of datalek te melden.
Wanneer is er sprake van een gegevenslek?
In de GDPR is een datalek of databreach een inbreuk in verband met persoonsgegevens op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Stel: een USB-stick waarop een kopie van de klantendatabase staat, is gestolen of verloren; of persoonsgegevens zijn geëncrypteerd door ransomware (gijzelsoftware) en er is geen kopie; of persoonsgegevens zijn geëncrypteerd maar de verwerkingsverantwoordelijke is de sleutel kwijt en kan ze dus niet decrypteren; of een virus wist alle klantengegevens uit de database.
Wat doen bij een gegevenslek?
Vóór het GDPR-tijdperk was de melding van een gegevenslek buiten de telecomsector niet wettelijk verplicht, maar wel raadzaam. De melding gebeurt door de verantwoordelijke voor de gegevensverwerking. De meldingstermijn bedraagt in principe maximaal 48 uur nadat het gegevenslek werd vastgesteld.
De GDPR verplicht vanaf 25 mei 2018 om een gegevenslek te melden aan de bevoegde toezichthoudende autoriteit. Voor België is dit de Gegevensbeschermingsautoriteit (GBA) of de vroegere Privacycommissie.
Alleen als het niet waarschijnlijk is dat het gegevenslek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet de lek niet worden gemeld. Bijvoorbeeld wanneer het gaat over persoonsgegevens die al openbaar beschikbaar zijn of wanneer de persoonsgegevens voldoende geëncrypteerd zijn en er een back-up van die gegevens bestaat.
In sommige gevallen, wanneer het gegevenslek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, is de melding ook verplicht aan de betrokkenen van wie er gegevens geraakt werden door het lek.
Hoeveel tijd heb ik voor de melding?
U -de verwerkingsverantwoordelijke- meldt de gegevenslek aan de GBA binnen de 72 uur nadat u er kennis van nam. Enkele voorbeelden van zo'n kennisname zijn, de vaststelling van het verlies van een USB-stick met persoonsgegevens of een derde partij informeert u dat ze per ongeluk de persoonsgegevens heeft ontvangen van uw klant.
Tijdens die 72 uur gaat u na of het gegevenslek een potentieel risico inhoudt op de rechten en vrijheden van natuurlijke personen. Het niet-melden van een gegevenslek binnen de 72 uur leidt niet noodzakelijk tot een sanctie. Maar een vertraging dient gemotiveerd te worden.
Wat moet ik melden?
Te verstrekken informatie aan de Gegevensbeschermingsautoriteit:
de aard van het gegevenslek
de categorieën van betrokkenen (klanten, werknemers, kinderen, patiënten, enz.)
de categorieën van persoonsgegevens (financiële gegevens, gezondheidsgegevens, adresgegevens, enz.)
het aantal betrokkenen en persoonsgegevens (eventueel bij benadering)
de naam en de contactgegevens van de data protection officer of DPO (of een ander contactpunt indien er geen DPO werd aangesteld)
de waarschijnlijke gevolgen van het gegevenslek
de maatregelen die al zijn genomen of voorgesteld.
Te verstrekken informatie aan de betrokkene:
de omschrijving van het gegevenslek
de naam en de contactgegevens van de DPO (of een ander contactpunt)
de waarschijnlijke gevolgen en
de maatregelen die zijn voorgesteld of genomen.
Deze meldingsplicht vervalt wanneer er technische en organisatorische beschermingsmaatregelen zijn genomen (bv. encryptie); of wanneer een openbare mededeling of soortgelijke maatregel volstaat. Wel is voortdurend een re-evaluatie nodig. Als de voorwaarde na verloop van tijd niet meer van toepassing is, kan er immers toch een melding nodig zijn.
Lijst met datalekken en documentatie
Onthoud. U moet documentatie verzamelen over de feiten van het gegevenslek, de gevolgen daarvan en de genomen corrigerende maatregelen. De GBA kan die documentatie opvragen, ook over de gegevenslekken die niet gemeld zijn. Het niet of onvoldoende documenteren van een gegevenslek kan tot sancties leiden.
Het is ook aangeraden om een intern register van gegevenslekken bij te houden. Een apart register is niet nodig. U mag dit opnemen in het algemeen register van de verwerkingsactiviteiten.
Tot slot. De GDPR schrijft zware administratieve geldboetes voor bij niet-naleving van de regelgeving. Of die geldboetes in eerste instantie enkel gehanteerd worden om een precedent te stellen, is nog af te wachten.