When do you need to notify a data breach?
Zijn de persoonsgegevens die je verwerkt verloren, gestolen of gecompromitteerd?
Is the processing likely to result in high risks?
Moet ik een DPIA uitvoeren?
Ja, je moet een DPIA uitvoeren
Zijn er nog grote risico’s na de DPIA?
Moet ik een DPIA uitvoeren?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Datalekken kunnen nadelige gevolgen hebben voor je organisatie. Zoals financiële tegenvallers, boetes, en een afname van het vertrouwen van klanten. De impact van datalekken kan enorm zijn. Daarom is het essentieel om beproefde methodes en maatregelen op het gebied van cyberbeveiliging toe te passen, om beveiligingsincidenten te voorkomen. Desondanks kan je nog steeds te maken krijgen met een gegevensinbreuk die je mogelijk moet melden aan de nationale gegevensbeschermingsautoriteit en aan de betrokkenen moet communiceren.
Wat is een „datalek”
Een datalek betekent „een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens”.
Organisaties moeten zich ervan bewust zijn dat een datalek niet alleen het „uitlekken” van persoonsgegevens betekent. Het omvat incidenten die de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens beïnvloeden. Belangrijk is dat datalekken zowel het gevolg kunnen zijn van ongelukken (zoals het verzenden van een e-mail naar de verkeerde ontvanger, het verliezen van een USB-stick met klantgegevens of het per ongeluk verwijderen van medische gegevens waarvoor geen back-up beschikbaar is), als van opzettelijke handelingen (zoals phishing-aanvallen om toegang te krijgen tot klantgegevens).
Met andere woorden, het omvat situaties waarin iemand toegang heeft tot persoonlijke gegevens of deze doorgeeft zonder de juiste toestemming, of waarin persoonlijke gegevens onleesbaar worden gemaakt door middel van encryptie van ransomware, of waar sprake is van onopzettelijk verlies of vernietiging. Hoewel alle datalekken beveiligingsincidenten zijn, zijn niet alle beveiligingsincidenten datalekken (aangezien er ook beveiligingsincidenten zijn waarbij geen persoonsgegevens zijn betrokken).
Lees meer
Verplichtingen voor de verwerkingsverantwoordelijken
Als jouw bedrijf verwerkingsverantwoordelijke is, zijn er drie primaire principes met betrekking tot datalekken:
- het documenteren van eventuele datalekken
- binnen 72 uur een kennisgeving van het datalek sturen aan de nationale gegevensbeschermingsautoriteit, tenzij het onwaarschijnlijk is dat dit zal leiden tot een risico voor personen; en
- zonder onnodig uitstel een melding sturen van het datalek aan de betrokken personen, wanneer de inbreuk waarschijnlijk een hoog risico voor hen met zich meebrengt.
Het is van het grootste belang dat de verwerkingsverantwoordelijken deze verplichtingen begrijpen en naleven en vooraf passende maatregelen nemen die hen in staat stellen tijdig en objectief vast te stellen of een van de bovengenoemde kennisgevingen vereist is.
In ieder geval moet de verwerkingsverantwoordelijke voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit gemeld dienen te worden, omdat het onwaarschijnlijk is dat deze tot een risico leiden voor personen — ten minste de basale informatie van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren, zoals vereist in artikel 33 lid 5 AVG.
Wat te doen en hoe actie te ondernemen?
Kennisgeving van datalekken aan de nationale gegevensbeschermingsautoriteit
Volgens artikel 33, lid 1, van de AVG moeten alle datalekken worden gemeld aan de nationale gegevensbeschermingsautoriteit, met uitzondering van datalekken die waarschijnlijk geen risico voor personen vormen. Om deze melding te faciliteren, hebben gegevensbeschermingsautoriteiten procedures of webformulieren opgesteld die je stap voor stap begeleiden, om ervoor te zorgen dat je alle vereiste informatie verstrekt.
Als het datalek plaatsvindt binnen de context van een grensoverschrijdende verwerking, en kennisgeving vereist is, dan moet de verwerkingsverantwoordelijke, indien die in de EER gevestigd is, de leidende gegevensbeschermingsautoriteit in kennis stellen. Bij het opstellen van hun responsplan voor datalekken moet een verwerkingsverantwoordelijke dus al beoordelen welke gegevensbeschermingsautoriteit de leidende gegevensbeschermingsautoriteit is. Als de verwerkingsverantwoordelijke twijfelt over de identiteit van de leidende gegevensbeschermingsautoriteit, moet die ten minste de lokale gegevensbeschermingsautoriteit in kennis stellen van de plaats waar het datalek heeft plaatsgevonden.
Indien kennisgeving vereist is, moet dit zo spoedig mogelijk en uiterlijk binnen 72 uur nadat de inbreuk bekend is, gebeuren. Indien dit niet mogelijk is, is een rechtvaardiging voor de vertraging vereist. Een organisatie moet als „bekend met het datalek” worden beschouwd wanneer er een redelijke mate van zekerheid is dat zich een beveiligingsincident heeft voorgedaan waarbij persoonsgegevens in gevaar zijn gebracht.
Om aan de betreffende gegevensbeschermingsautoriteit te kunnen aantonen wanneer en hoe zij kennis hebben genomen van een datalek, wordt aanbevolen dat alle organisaties, als onderdeel van hun interne procedures inzake datalekken, beschikken over een systeem om vast te leggen hoe en wanneer zij op de hoogte zijn gesteld van datalekken en hoe zij het potentiële risico van een datalek hebben beoordeeld.
Wanneer het niet mogelijk is om alle relevante informatie binnen de termijn van 72 uur aan de gegevensbeschermingsautoriteit te verstrekken, moet de kennisgeving in verschillende stappen worden gedaan. De eerste kennisgeving moet worden ingediend en verdere informatie kan in fasen worden verstrekt.
Eveneens, overeenkomstig artikel 33, lid 2, AVG, moet je, als jouw bedrijf een gegevensverwerker is die persoonsgegevens verwerkt namens een andere organisatie, de verwerkingsverantwoordelijke zonder uitstel op de hoogte stellen van een datalek. Dit is van cruciaal belang om de verwerkingsverantwoordelijke in staat te stellen tijdig aan de kennisgevingsverplichtingen te voldoen. De vereisten rond het melden van datalekken moeten ook worden beschreven in het contract tussen de verwerkingsverantwoordelijke en de verwerker, zoals vereist op grond van artikel 28 van de AVG.
Een melding van een datalek aan de betreffende gegevensbeschermingsautoriteit moet ten minste:
- de aard van het datalek beschrijven, met inbegrip van, indien mogelijk, de soorten en het geschatte aantal betrokken personen en de categorieën en het geschatte aantal betrokken persoonsgegevensbestanden;
- de naam- en contactgegevens van de functionaris gegevensbescherming (FG) bevatten of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van het datalek beschrijven ;
- de maatregelen beschrijven die het bedrijf heeft genomen of voorgesteld om het datalek aan te pakken, met inbegrip van, indien van toepassing, maatregelen om de mogelijke nadelige gevolgen ervan te beperken.
Mededeling van het datalek aan betrokkenen
Sommige datalekken moeten zonder onnodige vertraging worden gemeld aan de betrokken personen. Dit is het geval wanneer het datalek waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van personen.
De bedoeling van deze eis is ervoor te zorgen dat betrokken personen de nodige voorzorgsmaatregelen kunnen nemen, wanneer zich incidenten hebben voorgedaan die waarschijnlijk een hoog risico voor hen zullen opleveren.
Dergelijke mededelingen aan personen moeten zonder uitstel en, indien van toepassing, in nauwe samenwerking met de nationale gegevensbeschermingsautoriteit worden gedaan. In gevallen waarin zich een onmiddellijk risico voor individuen voordoet, zal snelle communicatie nodig zijn.
Er zijn omstandigheden waarin verwerkingsverantwoordelijken niet verplicht zijn om betrokkenen persoonlijk op de hoogte te stellen, zoals:
- wanneer de verwerkingsverantwoordelijke de gegevens had versleuteld en de geheime sleutels niet in gevaar zijn gebracht;
- wanneer de verwerkingsverantwoordelijke maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen niet langer aanwezig is.
of
- als dit een onevenredige inspanning met zich meebrengt. In een dergelijk geval moet de verwerkingsverantwoordelijke er echter nog steeds voor zorgen, door middel van een openbare mededeling of soortgelijke maatregel, dat personen op een even doeltreffende manier worden geïnformeerd.
Deze mededeling aan de betrokkene moet in duidelijke en eenvoudige taal de aard van het datalek beschrijven en ten minste de volgende informatie bevatten:
- de naam en contactgegevens van de functionaris gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- een beschrijving van de waarschijnlijke gevolgen van het datalek;
- een beschrijving van de maatregelen die de organisatie heeft genomen of voorgesteld om het datalek aan te pakken, met inbegrip van, indien van toepassing, maatregelen om de mogelijke nadelige gevolgen ervan te beperken.
- In de mededeling moeten ook aanbevelingen worden beschreven voor de betrokkenen om de mogelijke nadelige gevolgen van het datalek te beperken.
Verwerkingsverantwoordelijken en verwerkers worden aangemoedigd om van te voren maatregelen te nemen om een inbreuk op te sporen en spoedig in te dammen, om het risico voor betrokkenen te beoordelen en vervolgens te bepalen of het nodig is om de nationale gegevensbeschermingsautoriteit op de hoogte te stellen en het datalek, indien nodig, aan de betrokken personen mede te delen.
Wanneer moet u een datalek melden?
