GDPR: Melden van gegevenslekken

De GDPR verplicht verwerkingsverantwoordelijken om een gegevenslek te melden aan de bevoegde toezichthoudende autoriteit en ook, in sommige gevallen, aan de betrokkenen van wie er gegevens geraakt werden door het lek.

Een gegevenslek wordt in de GDPR een inbreuk in verband met persoonsgegevens genoemd en wordt gedefinieerd als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (art.4, 12) GDPR).

We geven de volgende voorbeelden mee:

een USB-stick waarop een kopie van de klantendatabase staat, is gestolen of verloren;

persoonsgegevens zijn geëncrypteerd door ransomware (en er bestaat geen kopie);

persoonsgegevens zijn geëncrypteerd door de verwerkingsverantwoordelijke, maar die is de sleutel kwijt en kan ze dus niet decrypteren.

Verwerkingsverantwoordelijken zijn verplicht om het gegevenslek aan de toezichthoudende autoriteit te melden, tenzij het niet waarschijnlijk is dat het gegevenslek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer het gegevenslek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, is de verwerkingsverantwoordelijke tevens verplicht om het gegevenslek te melden aan de betrokkenen (art.33 en 34 GDPR).

Het niet-melden van een gegevenslek kan resulteren in een sanctie.

Het melden van gegevenslekken is een verplichting die rust op de schouders van de verwerkingsverantwoordelijke, maar de verwerker moet hem bijstand verlenen bij het nakomen van deze verplichting. Hij moet de verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van een gegevenslek.

Melding van een gegevenslek aan de toezichthoudende autoriteit

Artikel 33 GDPR vereist dat de verwerkingsverantwoordelijke het gegevenslek aan de toezichthoudende autoriteit meldt binnen de 72 uur nadat hij er kennis van heeft genomen. In België is dit de Gegevensbeschermingsautoriteit (GBA), de vroegere Privacycommissie.

Enkele voorbeelden van kennisname zijn:

de verwerkingsverantwoordelijke stelt het verlies vast van een USB-stick die persoonsgegevens bevat;

een derde partij informeert de verwerkingsverantwoordelijke dat ze per ongeluk de persoonsgegevens heeft ontvangen van een klant van de verwerkingsverantwoordelijke;

een verwerkingsverantwoordelijke stelt vast dat er iemand het netwerk is binnengedrongen en dat er persoonsgegevens aangetast werden;

een cybercrimineel contacteert de verwerkingsverantwoordelijke om losgeld te vragen nadat hij zijn systeem heeft gehackt en de verwerkingsverantwoordelijke bevestigt dit lek na het controleren van zijn systeem.

Wanneer de verwerkingsverantwoordelijke wordt geïnformeerd over een potentieel gegevenslek, krijgt hij een korte periode om dit te onderzoeken. Gedurende deze korte periode wordt de verwerkingsverantwoordelijke geacht nog geen kennis genomen te hebben van de inbreuk. Dit onderzoek moet wel zo snel mogelijk plaatsvinden en moet met een redelijke graad van zekerheid vaststellen of er al dan niet sprake is van een gegevenslek. Een meer gedetailleerd onderzoek kan later volgen.

De verwerkingsverantwoordelijke heeft vervolgens 72 uur om het gegevenslek te melden. Tijdens deze 72 uur moet de verwerkingsverantwoordelijke beoordelen of het gegevenslek een potentieel risico inhoudt op de rechten en vrijheden van natuurlijke personen.

De volgende informatie moet verstrekt worden aan de toezichthoudende autoriteit bij een melding van een gegevenslek:

de aard van het gegevenslek;

de categorieën van betrokkenen (klanten, werknemers, kinderen, patiënten, enz.);

de categorieën persoonsgegevens (financiële gegevens, gezondheidsgegevens, adresgegevens, enz.);

het aantal betrokkenen en persoonsgegevens (eventueel bij benadering);

de naam en de contactgegevens van de data protection officer of DPO (of een ander contactpunt indien er geen DPO werd aangesteld);

de waarschijnlijke gevolgen van het gegevenslek;

de maatregelen die de verwerkingsverantwoordelijke reeds heeft genomen of heeft voorgesteld

Wanneer er geen melding van het gegevenslek wordt gemaakt binnen de 72 uur, moet de verwerkingsverantwoordelijke deze vertraging motiveren. Het niet-melden van een gegevenslek binnen de 72 uur leidt niet noodzakelijk tot een sanctie.

Zoals er eerder al aangegeven werd, is het niet verplicht om een gegevenslek te melden wanneer het niet waarschijnlijk is dat het gegevenslek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit kan bijvoorbeeld het geval zijn wanneer het persoonsgegevens betreft die reeds openbaar beschikbaar zijn of wanneer de persoonsgegevens voldoende geëncrypteerd zijn en de verwerkingsverantwoordelijke een back-up heeft van die gegevens.

Melding van een gegevenslek aan de betrokkene

Een gegevenslek moet eveneens aan de betrokkenen meegedeeld worden wanneer zij waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (art.34 GDPR).

In dat geval moet het gegevenslek zo snel mogelijk gemeld worden, opdat de betrokkenen zelf stappen kunnen ondernemen om de waarschijnlijke risico's te beperken.

Deze melding moet de volgende zaken bevatten:

de omschrijving van het gegevenslek;

de naam en de contactgegevens van de DPO (of een ander contactpunt);

de waarschijnlijke gevolgen; en

de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen.

De verwerkingsverantwoordelijke kan additionele informatie opnemen, zoals het voorstellen van maatregelen die de betrokkenen zelf kunnen nemen en het eventuele advies van de toezichthoudende autoriteit.

Alle communicatie over het gegevenslek moet apart verstuurd worden en mag geen deel uitmaken van andere communicatie (bv. nieuwsbrieven, updates, enz.).

De verwerkingsverantwoordelijke moet het gegevenslek niet melden aan de betrokkenen:

wanneer hij passende technische en organisatorische beschermingsmaatregelen heeft genomen m.b.t. de persoonsgegevens waarop het gegevenslek betrekking heeft (bv. encryptie);

wanneer hij achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen;

wanneer de mededeling onevenredige inspanningen zou vergen, in welk geval een openbare mededeling of soortgelijke maatregel volstaat (bv. een warenhuis houdt een papieren klantenbestand bij en krijgt te maken met een overstroming die dit volledig vernietigt).

Verwerkingsverantwoordelijken die zich beroepen op een van de bovenstaande scenario's, moeten dit wel kunnen aantonen aan de toezichthoudende autoriteit en moeten dit voortdurend re-evalueren. Het is namelijk mogelijk dat de voorwaarde na verloop van tijd niet meer van toepassing is en dat er toch een melding nodig zal zijn.

De toezichthoudende autoriteit kan na beraad beslissen dat de verwerkingsverantwoordelijke het gegevenslek toch moet melden aan de betrokkenen. Indien zij van mening is dat de beslissing van de verwerkingsverantwoordelijke om de betrokkenen niet te informeren slecht gemotiveerd is, kan zij sancties opleggen.

Verantwoordelijkheid en register

Verwerkingsverantwoordelijken moeten hun gegevenslekken documenteren, ook de gegevenslekken die ze niet gemeld hebben. De toezichthoudende autoriteit kan deze documentatie opvragen. Het is aangeraden om een intern register van gegevenslekken bij te houden. Dit hoeft niet noodzakelijk in een apart register, maar mag opgenomen worden in het algemeen register van de verwerkingsactiviteiten (zie art.30 GDPR).

De verwerkingsverantwoordelijke moet de feiten omtrent het gegevenslek, de gevolgen daarvan en de genomen corrigerende maatregelen documenteren.

Het niet of onvoldoende documenteren van een gegevenslek kan tot sancties leiden.

Bron: Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 119 van 4 mei 2016.