GDPR en de meldplicht datalekken: eerste hulp bij datalekken

Vanaf dit jaar ziet de Europese Unie strenger toe op kmo’s omtrent hun omgang met persoonsgegevens. Zo stelt de GDPR dat bedrijven niet alleen een wettelijk verplicht register van verwerkingsactiviteiten moeten bijhouden, ze dienen ook hun data breaches te registreren in een ‘register van datalekken’ en hebben een meldplicht omtrent datalekken te vervullen. Maar wat houdt die meldplicht bij datalekken nu precies in en waarmee moet rekening gehouden worden? Ik beantwoord de belangrijkste vragen in deze blog.

Snel lezen? Klik door op de inhoudstabel:

  1. Wat is een datalek?
  2. Waarom is de meldplicht datalekken nodig?
  3. Wat houdt de nieuwe wetgeving in?
  4. Hoe verloopt een melding van een datalek aan de Privacycommissie?
  5. Wanneer moet je een datalek melden aan de betrokkene?
  6. Heeft de verwerker van mijn gegevens ook meldplicht?
  7. Wat zijn de gevolgen van een datalek?
  8. Hoe kan je je beveiliging verbeteren?

Wat is een datalek?

De GDPR definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

We spreken van een datalek wanneer persoonsgegevens in handen kunnen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek kan bijvoorbeeld het gevolg zijn van een beveiligingsprobleem. Het kan gaan over uitgelekte computerbestanden, een cyberaanval, een gestolen laptop, verloren USB-sticks, een papieren lijst met klantengegevens of zelfs een bedrijfstelefoon die verloren gaat. Een voorbeeld dat enkele maanden geleden in het nieuws kwam, is dat van de gehackte digitale wachtkamer. Honderdduizenden patiëntengegevens werden gelekt dankzij gebreken in de beveiliging van de webapplicatie en het gebruik van verouderde code. Het platform voor huisartsboekingen kreeg felle kritiek omdat het de getroffen consumenten te laat inlichtte, en zo een aanbeveling van de Privacy Commissie in de wind sloeg. Dit bevestigt het belang van een degelijke onderhoudsovereenkomst wanneer je online software gebruikt en/of websites of applicaties laat ontwikkelen op maat. Bovendien volg je best de Europese richtlijnen omtrent de verwerking van persoonsgegevens via online diensten en mobiele applicaties. Twijfel je of de software waar jij mee werkt conform is? Neem gerust contact met mij op voor een technische audit.

Waarom is de meldplicht datalekken nuttig?

In 2015 onderzocht Beltug, de grootste Belgische vereniging van technologiebedrijven, hoe goed Belgische bedrijven op de hoogte waren van de wetgeving rond data-inbreuken. Het confronterende resultaat was dat minder dan de helft van de Belgische bedrijven hier kennis van hadden. Het feit dat de privacywetgeving uit 1995 dateerde, en er in de praktijk maar weinig sancties aan verboden waren, heeft hier wellicht veel mee te maken. En toch wil Europa bereiken dat de privacy en gegevens van haar inwoners zo goed mogelijk beschermd worden.

Om er dus ondermeer voor te zorgen dat de rechten van betrokkenen streng bewaakt worden, en dat gegevensbescherming hoog op de agenda terecht komt van onze grote én kleine bedrijven, legt de GDPR een meldplicht datalekken op.

Wat houdt de nieuwe wetgeving in?

Wanneer je bedrijf te maken krijgt met een datalek moet je hier correct mee omgaan. Er zijn drie mogelijke acties die je dient te ondernemen na een inbreuk op de gegevensbeveiliging, namelijk:

  • registratie in het intern register
    Als verwerkingsverantwoordelijke dien je een register aan te leggen waarin alle inbreuken, met inbegrip van de feiten, gevolgen en genomen corrigerende maatregelen, worden geregistreerd. Ook wanneer er passende beveiligingsmaatregelen aanwezig zijn en het risico van de inbreuk nihil is, maak je hier nota van in het register.
  • notificatie van de DPA
    De gegevensbeschermingsautoriteit (de vroegere Privacycommissie) dient in kennis gesteld te worden van ieder gegevenslek, uiterlijk binnen de 72u, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen.
  • communicatie met de betrokkenen
    Wanneer de inbreuk in verband met de bescherming van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, dienen zij hiervan rechtstreeks op de hoogte gesteld te worden door de verwerkingsverantwoordelijke. In de praktijk is het de DPO van jouw kmo of de verantwoordelijke omtrent gegevensverwerking die deze rol op zich neemt.

Op inbreuken omtrent datalekken staan sancties. Daarom kan je maar best zélf het initiatief nemen om snel te handelen. Twijfel je of een bepaald gegevenslek dient gemeld te worden? Dan kan je je richten tot de Belgische Gegevensbeschermingsautoriteit of je DPO.

Hoe verloopt de melding van een datalek aan de Gegevensbeschermingsautoriteit?

Je moet niet elk datalek verplicht melden aan de Gegevensbeschermingsautoriteit (GBA). Dit is enkel verplicht wanneer er een gevaar is dat het lek van persoonsgegevens een risico met zich meebrengt voor de vrijheden en de rechten van natuurlijke personen. Is dit het geval? Dat met de melding binnen de 72 uur gebeuren nadat je als verwerkingsverantwoordelijke het lek vastgesteld hebt. De melding aan de GBA kan online gebeuren en moet verplicht een aantal gegevens bevatten, waaronder:

  • De aard van de inbreuk die te maken heeft met persoonsgegevens.
  • (Waar mogelijk) de categorieën (en het aantal) van de betrokken en persoonsgegevensregisters in kwestie.
  • De naam en de contactinformatie van de Data Protection Officer (DPO) of een ander contactpunt waar de commissie meer informatie kan verkrijgen.
  • De waarschijnlijke gevolgen van de inbreuk.
  • De maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld om de inbreuk aan te pakken zoals de beperking van de eventuele nadelige gevolgen.

Om aan de strakke deadline te voldoen, kan je maar beter proactief de benodigde datalekprocedures uitwerken én passende technische en organisatorische beveiligingsmaatregelen invoeren.

Wanneer moet je een datalek melden aan de betrokkene?

In bepaalde gevallen moet je naast de GBA ook de betrokkenen op de hoogte brengen van een datalek. Dit is het geval indien de inbreuk een realistisch hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze melding moet ook verplicht een aantal gegevens bevatten én moet in klare en begrijpbare taal geformuleerd worden. De contactgegevens van de privacycontactpersoon of DPO moeten ook aan de betrokkene bezorgd worden alsook informatie over de gevolgen van het datalek en de maatregelen die genomen werden.

Let op! Er bestaan enkele situaties waarin je momenteel niet verplicht bent om datalekken te melden aan de betrokkenen wanneer bijvoorbeeld:

  • de gegevens door encryptie of versleuteling onbegrijpelijk werden gemaakt;
  • maatregelen genomen werden die de impact beperken;
  • de melding onevenredige inspanningen vergt en de onderneming daarom beslist heeft om één algemeen openbaar bericht over het lek te verspreiden.

Heeft de verwerker van mijn gegevens ook een meldplicht?

Ja! De verwerker is verplicht om ieder datalek te melden aan de verwerkingsverantwoordelijke (jouw contactpersoon of DPO). Dit moet bovendien zo snel mogelijk gebeuren na het ontdekken van het datalek. We raden daarom aan om in de verwerkersovereenkomsten tussen jouw onderneming en haar gegevensverwerkers een procedure vast te leggen die de verwerker moet volgen wanneer er een datalek vastgesteld wordt. Hierin wordt ook een kortere termijn voor de meldplicht afgesproken dan de 72u waaraan jouw kmo zich moet houden. Leg concreet vast welke informatie hij moet bezorgen en binnen welke termijn.

Wat zijn de gevolgen van een datalek?

De Gegevensbeschermingsautoriteit kan zware boetes opleggen wanneer ondernemingen de privacy van betrokkenen schaden of hun gegevens gebrekkig beveiligen. Deze boetes kunnen worden opgelegd samen met of in de plaats van de te nemen maatregelen en zijn afhankelijk van de aard, intentie, genomen maatregelen, verantwoordelijkheden, eerdere inbreuken, mate van samenwerking, mate van naleven van certificaties e.d.

Hoe kan je de beveiliging van gegevens verbeteren?

Het is ondertussen duidelijk dat de Europese Unie serieus wilt inzetten om cybercriminaliteit de kop in te drukken en consumenten hun privacy extra te beschermen. Zorg er daarom voor dat je bedrijf zo snel mogelijk voldoet aan de vooropgestelde eisen van de GDPR regelgeving en de meldplicht datalekken. Ik sluit graag af met 4 tips waarmee je onmiddellijk aan de slag kan:

  1. Stel een IT veiligheidsbeleid op
    Een intern IT veiligheidsbeleid is een echte must. Wist je dat het interne IT veiligheidsbeleid van Datalink zo’n twintig artikels bevat en dit een dynamisch document is? Uniformiteit in de werking van je bedrijf is nog nooit zo belangrijk geweest en door structuren aan te reiken en het gebruik van Shadow IT te ontmoedigen perk je het risico op een lek al drastisch in. Formuleer in dit beleid ook duidelijk wie wat wanneer moet doen als je toch met een datalek of cyberaanval geconfronteerd wordt.
  2. Breng gegevensstromen in kaart en beperk de hoeveelheid gegevens
    Bekijk de data en persoonsgegevens waar je onderneming nu mee werkt. Zijn al deze gegevens noodzakelijk? Verzamel en bewaar enkel die gegevens die je echt nodig hebt. Zorg er voor dat je om de zoveel tijd je databank opkuist en onnodige gegevens verwijdert en je het overzicht bewaart.
  3. Beperk de toegang tot gegevens
    Niet alle medewerkers binnen je bedrijf hebben toegang nodig tot alle (persoons)gegevens. Zorg er daarom voor dat werknemers uitsluitend toegang kunnen nemen tot die gegevens die zij nodig hebben voor de uitoefening van hun job, en laat gebruikers in geen geval met een administratoraccount werken.
  4. Zorg voor adequate beveiliging
    Laat je huidige beveiligingsmaatregelen periodiek evalueren of auditen en bekijk wat er aangepast moet worden om in regel te zijn met de hedendaagse standaarden. Het is in het belang van je klanten alsook van je kmo om ervoor te zorgen dat je optimaal beschermt bent tegen aanvallen en datalekken. Ben je niet zeker of je onderneming voldoende beveiligd is? Check eerst en vooral de Gotcha Zoekmachine om na te gaan of er paswoorden van jouw zakelijke e-mailaccounts op het internet rondslingeren. Nodig vervolgens een IT security specialist uit, die zwakke punten kan signaleren en verbeteren. Wist je dat we bij Datalink een IT Audit aanbieden? Deze audit die bestaat uit een situatieanalyse, vraagstelling, onderzoek, advies en implementatieplan is voor 40% subsidieerbaar via de kmo-portefeuille!

Heeft jouw organisatie voldoende IT-technische maatregelen tegen datalekken genomen?
Volstaan de aanwezige procedures om de wetgeving te kunnen naleven?

Contacteer onze databeveiligingsexperts. We lokaliseren de ‘weak spots’ in de beveiliging van jouw bedrijf, en nog veel belangrijker… we helpen ze oplossen!

Vraag direct informatie aan over een IT Audit of GDPR Compliancytraject

Interessante bron? Deel deze pagina met je netwerk!