U heeft als ondernemer reeds allerlei informatie vergaard omtrent de omgang met persoonsgegevens van klanten en het sensibiliseren hiervan bij uw personeel. U heeft zich bovendien zo goed mogelijk proberen in te dekken door de nodige technische en organisatorische maatregelen te nemen zoals voorgeschreven door de GDPR (de Algemene Verordening Gegevensbescherming). Toch moet u op een gegeven moment vaststellen dat er een datalek is binnen uw onderneming en dat bepaalde persoonsgegevens van klanten en/of personeel (ongewild) onrechtmatig verwerkt worden. Via dit artikel maken wij u wegwijs in de te volgen stappen bij een datalek.
1. Wat zijn persoonsgegevens?
De GDPR definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
Samengevat: persoonsgegevens zijn alle gegevens of combinatie van gegevens die kunnen leiden tot de identificatie van een natuurlijke persoon.
2. Wat is een datalek?
In de GDPR wordt een datalek omschreven als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Wanneer men het over datalekken heeft, wordt in de eerste plaats gedacht aan kwaad opzet (bijvoorbeeld hacking, ransomware-aanvallen, diefstal, etc.), maar de meeste gegevenslekken zijn het gevolg van menselijke fouten of onvoorzichtigheden (bijvoorbeeld verlies van een USB-stick, systeemcrash door menselijke fout, per vergissing persoonsgegevens op een onbeveiligde webpagina weergeven, niet afdoende afsluiten van de kantoren, toegang niet beperken tot specifieke users, etc.).
3. De aanpak omtrent gegevenslekken
Het is belangrijk om zowel een preventieve, als een anticipatieve aanpak omtrent datalekken in uw onderneming te implementeren. Hierbij is het van belang dat de verplichtingen omtrent datalekken gelden voor de verwerkingsverantwoordelijke én de verwerker.
In de eerste orde moet men de zwakke punten identificeren en de nodige maatregelen nemen om deze risico’s te beperken. Dit kan door het aanpassen of invoeren van een beleid m.b.t. de behandeling van gegevens (organisatorische maatregelen) en/of de beveiliging van het netwerk te verhogen (technische maatregelen).
In tweede orde is het cruciaal dat de onderneming adequaat kan reageren op een datalek en daarmee gerelateerde incidenten. Hier is het van belang dat (1) de (technische) mogelijkheid bestaat om het gegevenslek op te sporen en (2) dat er intern een procedé voorzien is om op zeer korte tijd te reageren op alle incidenten. Het is dan ook van belang dat u – preventief – maatregelen neemt om anticipatief op datalekken te kunnen reageren.
4. Hoe ga ik intern om met een datalek?
U voorziet best een duidelijk stappenplan, zodat u niet voor verrassingen komt te staan bij een datalek. Het is bovendien aangewezen om dit stappenplan in een beleidsdocument op te nemen. Dit beleidsdocument is eveneens een krachtig signaal ten aanzien van de toezichthoudende autoriteiten.
Een mogelijk stappenplan kan zijn:
- Verifiëren: is dit wel echt een inbreuk? Wie heeft het gemeld?
- Classificeren: hoe ernstig is dit incident?
- Initiële maatregelen: wat kunnen we doen om de impact te beperken?
- Toewijzen: wie neemt verantwoordelijkheid voor het opvolgen en oplossen van het incident?
- Evalueren: na afloop, hoe kunnen we ons beter beschermen in de toekomst?
5. Hoe kom ik een datalek op het spoor?
De melding van een (potentieel) datalek kan gebeuren door medewerkers, leveranciers, interne systemen (logging) of zelfs derden. Belangrijk hierbij is om de (onderlinge) meldingsplicht contractueel te laten vastleggen met uw leveranciers(-verwerkers). Dit kan opgenomen worden in de hoofdovereenkomst of in een aparte verwerkingsovereenkomst.
6. De documentatie van alle beveiligingsincidenten
U dient ieder beveiligingsincident en datalek te registreren in een intern register. Er is sprake van een beveiligingsincident indien er zich een incident heeft voorgedaan zonder dat dit enig risico vormt (en dus geen “echt” datalek in de zin van de GDPR is).
In dit register wordt volgende informatie gedocumenteerd:
Steeds
- Soort incident: beveiligings- of datalek
- Tijdstip vaststelling incident
- Status van het incident
- Oplossing – omschrijving van de genomen maatregelen
In geval van een datalek
- Gegevenscategorie
- Hoedanigheid (verwerkingsverantwoordelijke of verwerker)
- Benadering van het aantal betrokken
- Beoordeling van het risico- Beoordeling van verplichting van melding aan de Gegevensbeschermingsautoriteit, de betrokkene (indien u verwerkingsverantwoordelijke bent) of aan de verwerkingsverantwoordelijke (indien u de verwerker bent).
- Tijdstip van de melding en de tijdigheid van de melding.
7. Wie moet ik op de hoogte te brengen bij een datalek?
Sinds mei 2018 wordt u als onderneming verplicht aangifte te doen in geval van een datalek. De aangifte van een datalek kent een tweeluik, aangezien u zowel de toezichthoudende autoriteit als het betrokken individu(en) op de hoogte dient te brengen. Voorts dient u alle datalekken bij te houden in een intern register zoals hierboven beschreven.
Indien er een datalek heeft plaatsgevonden en er een mogelijk risico bestaat voor het betrokken individu(en), dient de verwerkingsverantwoordelijke binnen de 72 uren na vaststelling van het datalek de toezichthoudende autoriteit hiervan in kennis te stellen. Indien u werkt met een (software)leverancier, kan u best opnemen in de verwerkersovereenkomst dat deze (als verwerker) u (als verwerkingsverantwoordelijke) binnen de 24 uren na vaststelling van het datalek op de hoogte moet stellen, zodat u tijdig de nodige stappen kan ondernemen.
Indien het niet mogelijk is om binnen de 72 uren na vaststelling van een datalek de toezichthoudende autoriteit op de hoogte te brengen, dient u dit te motiveren in de (laattijdige) melding ervan. Het is ook steeds mogelijk om een gefaseerde melding te doen bij de toezichthoudende autoriteit, om u de tijd te geven alle nodige informatie te verzamelen. U kan dan eerst het datalek melden en nadien de nodige details toelichten aan de toezichthoudende autoriteit.
In principe dient u het betrokken individu(en) eveneens in kennis te stellen van het datalek met betrekking tot zijn persoonsgegevens. Het risico bestaat namelijk dat de rechten van het individu zijn geschonden. Denk hierbij aan lichamelijke, materiële of immateriële schade, identiteitsdiefstal, reputatieschade, financiële verliezen, schending beroepsgeheim, schending privacy, discriminatie, etc.
Aangezien dit een omvangrijke procedure kan zijn, is dit niet in alle gevallen noodzakelijk. Zo gelden er uitzonderingen op de meldingsplicht aan het betrokken individu(en) als:
- het omslachtig is om ieder betrokken individu individueel op de hoogte te stellen. Men kan dan opteren voor een publieke mededeling.
- de verwerkingsverantwoordelijke voldoende technische en organisatorische maatregelen heeft genomen waardoor de persoonsgegevens toch nog verder beschermd worden (bv. door encryptie of pseudonimisering).
- de verwerkingsverantwoordelijke voldoende maatregelen heeft genomen waardoor de kans op negatieve gevolgen klein is.
De melding in de praktijk
De melding dient te gebeuren door het invullen van een formulier op de website van de gegevensbeschermingsautoriteit.
De melding aan het betrokken individu(en) dient in verstaanbare taal te gebeuren. Deze melding moet volgende informatie bevatten:
- De naam, contactgegevens van de functionaris voor gegevensbescherming (DPO) of een andere contactpersoon.
- De waarschijnlijke gevolgen van de inbreuk voor wat betreft de persoonsgegevens.
- De genomen maatregelen om de inbreuk aan te pakken, waaronder de maatregelen ter beperking van eventuele nadelige gevolgen.
9. Welke sanctie kan ik oplopen bij een datalek?
Nadat u melding heeft gedaan van een (potentieel) datalek bij de toezichthoudende autoriteit, zal deze een onderzoek starten om na te gaan of u de nodige stappen heeft ondernomen om te voldoen aan de bescherming van persoonsgegevens zoals door de GDPR voorgeschreven.
Elementen waarmee hierbij rekening wordt gehouden, zijn (i) de aard en de intentie van de inbreuk, (ii) de genomen maatregelen, (iii) bij wie de verantwoordelijkheid ligt, (iv) eventuele eerdere inbreuken, (v) de medewerking aan het onderzoek van de toezichthoudende autoriteit, (vi) reeds behaalde certificaten, (vii) specifieke elementen die verbonden zijn aan de inbreuk, etc.
Een waterdicht systeem is hierbij weliswaar niet verplicht, maar u moet als onderneming wel kunnen aantonen dat u de nodige maatregelen heeft genomen. U kan dit eenvoudig aantonen door (minstens) volgende documenten aan de gegevensbeschermingsautoriteit voor te leggen:
- Register voor verwerkingsactiviteiten
- Register voor datalekken
- Beleidsdocument voor datalekken
- Verwerkingsovereenkomsten
- Privacyverklaring
Na afloop van het onderzoek, zal de toezichthoudende autoriteit bepalen of, en in welke mate de inbreuk moet worden bestraft. De GDPR schrijft zware administratieve geldboetes voor bij niet-naleving van de regelgeving, maar in de praktijk zal de toezichthoudende autoriteit aan KMO’s in eerste instantie veelal een waarschuwing geven of een termijn om u te conformeren aan de geldende regelgeving. Zware administratieve geldboetes zullen wellicht in eerste instantie enkel gehanteerd worden om een precedent te stellen, maar niettemin zullen verzekeraars steeds vaker een verzekering voor cyberincidenten aanbieden.
Indien u meer informatie omtrent datalekken wenst, kan u steeds contact opnemen met onze privacy-expert Wim Wijsmans. Hij kan u uiteraard ook bijstaan bij de implementatie van een preventieve aanpak omtrent datalekken of bij de melding van gegevenslekken.