GDPR en de meldplicht: eerste hulp bij datalekken

De Europese Unie ziet streng toe op de veilige omgang met persoonsgegevens in het bedrijfsleven. Zo stelt de GDPR dat bedrijven niet alleen een verplicht register van hun verwerkingen van persoonsgegevens moeten bijhouden, ze dienen ook hun data breaches te registreren in een ‘register van datalekken’ en hebben een meldplicht omtrent datalekken te vervullen. Wat de meldplicht inhoudt, kom je te weten in deze blog.

Snel lezen? Klik door op de inhoudstabel:

  1. Wat is een datalek?
  2. Waarom is de meldplicht datalekken nodig?
  3. Wat houdt de nieuwe wetgeving in?
  4. Hoe verloopt een melding van een datalek aan de Privacycommissie?
  5. Wanneer moet je een datalek melden aan de betrokkene?
  6. Heeft de verwerker van mijn gegevens ook meldplicht?
  7. Wat zijn de gevolgen van een datalek?
  8. Hoe kan je je beveiliging verbeteren?

Wat is een datalek?

De GDPR definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

We spreken van een datalek wanneer persoonsgegevens in handen kunnen vallen van derden die geen toegang tot die gegevens mogen hebben. Een datalek kan bijvoorbeeld het gevolg zijn van een beveiligingsprobleem. Het kan gaan over uitgelekte computerbestanden, een cyberaanval, een gestolen laptop, verloren USB-sticks, een papieren lijst met klantengegevens of zelfs een bedrijfstelefoon die verloren gaat.

Een voorbeeld dat enkele maanden geleden in het nieuws kwam, is dat van de gehackte digitale wachtkamer. Meer dan 550.000 patiëntengegevens werden gelekt dankzij gebreken in de beveiliging van de webapplicatie en het gebruik van verouderde code. Het platform voor huisartsboekingen kreeg felle kritiek omdat het de getroffen consumenten niet zelf inlichtte, maar het datalek negeerde. Dit bevestigt het belang van encryptie of versleuteling van kritieke gegevens in webapplicaties en een degelijke onderhoudsroutine voor het updaten van broncode van websites en webapplicaties. Bovendien volg je best de Europese richtlijnen omtrent de verwerking van persoonsgegevens via online diensten en mobiele applicaties. Twijfel je of de software die jij hebt laten ontwikkelen of waar jij mee werkt voldoet aan de minimale technische standaarden? Neem gerust contact op voor een technische audit ervan.

Waarom is de meldplicht datalekken nuttig?

In 2015 onderzocht Beltug, de grootste Belgische vereniging van technologiebedrijven, hoe goed Belgische bedrijven op de hoogte waren van de wetgeving rond data-inbreuken. Het confronterende resultaat was dat minder dan de helft van de Belgische bedrijven hier kennis van hadden. Het feit dat de privacywetgeving uit 1995 dateerde, en er in de praktijk maar weinig sancties aan verbonden waren, heeft hier wellicht veel mee te maken. En toch wilde Europa bereiken dat de privacy en gegevens van haar inwoners zo goed mogelijk beschermd worden.

Om er dus ondermeer voor te zorgen dat de rechten van betrokkenen streng bewaakt worden, en dat gegevensbescherming hoog op de agenda terecht komt van onze grote én kleine bedrijven, legt de GDPR een meldplicht datalekken op.

Wat zegt de GDPR over datalekken?

Wanneer je bedrijf te maken krijgt met een datalek moet je hier correct mee omgaan. Er zijn drie mogelijke acties die je dient te ondernemen na een inbreuk op de gegevensbeveiliging, namelijk:

Registratie van het datalek in het intern register

Als verwerkingsverantwoordelijke dien je een register aan te leggen waarin alle inbreuken, met inbegrip van de feiten, gevolgen en genomen corrigerende maatregelen, worden geregistreerd. Ook wanneer er al passende beveiligingsmaatregelen aanwezig waren en het risico van de inbreuk nihil was, maak je hier nota van in het register. Denk bijvoorbeeld aan een smartphone die je vergeten bent in een ander filiaal waar pushberichten op ingeschakeld staan.

Notificatie van de DPA

De Belgische Gegevensbeschermingsautoriteit dient in kennis gesteld te worden van ieder gegevenslek, uiterlijk binnen de 72u, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit dient beoordeeld te worden per uniek geval. Ondermeer de gevoeligheid van de gegevens spelen hier mee. Een DPO of Data Protection Officer kan je helpen om te beoordelen of de GBA moet ingelicht worden of niet.

Communicatie met de betrokkenen

Wanneer de inbreuk in verband met de bescherming van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, dienen zij hiervan rechtstreeks op de hoogte gesteld te worden door de verwerkingsverantwoordelijke. In de praktijk is het terug de DPO van jouw kmo of de verantwoordelijke omtrent gegevensverwerking die deze rol op zich neemt.

Op inbreuken omtrent datalekken staan sancties. Daarom kan je maar best zélf het initiatief nemen om snel te handelen. Twijfel je of een bepaald gegevenslek dient gemeld te worden? Dan kan je je richten tot de Belgische Gegevensbeschermingsautoriteit of je DPO.

Hoe is het met jouw website gesteld?

Wil je graag een inzichtelijk rapport ontvangen omtrent de veiligheid, betrouwbaarheid en volledigheid van jouw website?

Jelle, webdesiger Datalink te Diepenbeek

Hoe verloopt de melding van een datalek aan de Gegevensbeschermingsautoriteit?

Zoals hierboven aangehaald hoef je dus niet ieder datalek kenbaar te maken aan de Gegevensbeschermingsautoriteit. Houdt het lek een ernstig risico in voor de rechten en vrijheden van de betrokkenen? Dan moet de melding van het datalek binnen de 72 uur plaatsvinden nadat je als verwerkingsverantwoordelijke het lek vastgesteld hebt. De melding aan de GBA kan online gebeuren en moet verplicht een aantal gegevens bevatten, waaronder:

  • De aard van de inbreuk die te maken heeft met persoonsgegevens;
  • (waar mogelijk) de categorieën van de betrokken en het aantal persoonsgegevens;
  • de naam en de contactinformatie van de Data Protection Officer (DPO) of een ander contactpunt waar de autoriteit meer informatie kan verkrijgen;
  • de waarschijnlijke gevolgen van de inbreuk;
  • de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld om de inbreuk aan te pakken zoals de beperking van de eventuele nadelige gevolgen.

TIP! Om aan de strakke deadline te voldoen, kan je maar beter proactief de benodigde datalekprocedures uitwerken én passende technische en organisatorische beveiligingsmaatregelen invoeren.

Wanneer moet je een datalek melden aan de betrokkenen?

In bepaalde gevallen moet je naast de GBA ook de betrokkenen op de hoogte brengen van een datalek. Dit is het geval indien de inbreuk een realistisch hoog risico inhoudt voor de rechten en vrijheden van de betrokken natuurlijke personen. Deze melding moet ook verplicht een aantal gegevens bevatten én moet in klare en begrijpbare taal geformuleerd worden. De contactgegevens van de privacycontactpersoon of DPO moeten ook aan de betrokkene bezorgd worden alsook informatie over de gevolgen van het datalek en de maatregelen die genomen werden.

Let op! Er bestaan situaties waarin je op het moment dat deze blog geschreven wordt niet verplicht bent om datalekken te melden aan de betrokkenen wanneer bijvoorbeeld:

  • de gegevens door encryptie of versleuteling onleesbaar werden gemaakt;
  • onmiddellijk maatregelen werden genomen die de impact beperken;
  • de melding onevenredige inspanningen vergt en de onderneming daarom beslist heeft om één algemeen openbaar bericht over het lek te verspreiden.

Heeft de verwerker van mijn gegevens ook een meldplicht?

Ja! De verwerker is verplicht om ieder datalek te melden aan de verwerkingsverantwoordelijke (jouw contactpersoon of DPO). Dit moet bovendien zo snel mogelijk gebeuren na het ontdekken van het datalek. We raden daarom aan om in de verwerkersovereenkomsten tussen jouw onderneming en haar gegevensverwerkers een procedure vast te leggen die de verwerker moet volgen wanneer er een datalek vastgesteld wordt. Hierin wordt ook een kortere termijn voor de meldplicht afgesproken dan de 72u waaraan jouw kmo zich moet houden. Leg concreet vast welke informatie de verwerkers moeten bezorgen en binnen welke termijn.

Wat zijn de gevolgen van een datalek?

De Gegevensbeschermingsautoriteit kan boetes opleggen wanneer ondernemingen de privacy van betrokkenen schaden of hun gegevens gebrekkig beveiligen. Deze boetes kunnen worden opgelegd samen met of in de plaats van de te nemen maatregelen en zijn afhankelijk van de aard, intentie, genomen maatregelen, verantwoordelijkheden, eerdere inbreuken, mate van samenwerking, mate van naleven van certificaties e.d.

Hoe kan je de beveiliging van gegevens verbeteren?

Het is duidelijk dat de Europese Unie serieus wilt inzetten om cybercriminaliteit de kop in te drukken en inwoners hun privacy te beschermen. Zorg er daarom voor dat je bedrijf voldoet aan de vooropgestelde eisen van de GDPR en de meldplicht datalekken. Ik sluit graag af met 4 tips waarmee je onmiddellijk aan de slag kan:

Stel een IT veiligheidsbeleid op

Een intern IT veiligheidsbeleid is een echte must. Wist je dat het interne IT veiligheidsbeleid van Datalink zo’n twintig artikels bevat en dit een dynamisch document is? Uniformiteit in de werking van je bedrijf is nog nooit zo belangrijk geweest en door structuren aan te reiken en het gebruik van Shadow IT te ontmoedigen perk je het risico op een lek al drastisch in. Formuleer in dit beleid ook duidelijk wie wat wanneer moet doen als je toch met een datalek of cyberaanval geconfronteerd wordt.

Breng gegevensstromen in kaart en beperk de hoeveelheid gegevens

Bekijk de data en persoonsgegevens waar je onderneming nu mee werkt. Zijn al deze gegevens noodzakelijk? Verzamel en bewaar enkel die gegevens die je echt nodig hebt. Zorg er voor dat je periodiek je databanken opkuist en onnodige gegevens verwijdert en zo het overzicht bewaart.

Beperk de toegang tot gegevens

Niet alle medewerkers binnen je bedrijf hebben toegang nodig tot alle (persoons)gegevens. Zorg er daarom voor dat werknemers uitsluitend toegang kunnen nemen tot die gegevens die zij nodig hebben voor de uitoefening van hun job, en laat gebruikers in geen geval met een administratoraccount werken.

Zorg voor adequate beveiliging

Laat je beveiligingsmaatregelen periodiek evalueren of auditen en bekijk wat er aangepast moet worden om mee te blijven met de hedendaagse standaarden. Maak van IT veiligheid een prioriteit. Ben je niet zeker of je bedrijf voldoende beveiligd is? Check eerst en vooral de paswoordendatabank van Haveibeenpwned om na te gaan of er paswoorden van jouw zakelijke e-mailaccounts op het internet rondslingeren. Nodig vervolgens een IT security specialist uit die zwakke punten kan identificeren en verbeteren.

Wist je dat we bij Datalink een IT Audit aanbieden? Deze audit die bestaat uit een situatieanalyse, vraagstelling, onderzoek, advies en implementatieplan is voor 40% subsidieerbaar via de kmo-portefeuille!

Heeft jouw organisatie voldoende IT-technische maatregelen tegen datalekken genomen? Volstaan de aanwezige procedures om de wetgeving te kunnen naleven?

Wil je een IT-expert inschakelen?

Of wens je jouw bedrijfsnetwerk te laten auditen? Contacteer de cybersecurity experts van Datalink voor een voorstel!

Scroll naar boven