Inbreuken op persoonsgegevens die een risico inhouden voor het betrokken individu, moeten aan de gegevensbeschermingsautoriteit worden gemeld.


In het artikel 'GDPR Stap 8 : datalekken en meldplicht' hadden we reeds toegelicht wat een inbreuk op persoonsgegevens inhoudt en dat dit datalek in sommige gevallen zelfs zal moeten worden gemeld aan de Gegevensbeschermingsautoriteit (GBA). De GBA heeft nu haar meldingsformulier klaar.

Een inbreuk op persoonsgegevens betekent dat er een inbreuk is op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen gegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon.

Inbreuken op persoonsgegevens die een risico inhouden voor het betrokken individu zullen moeten worden gemeld aan de Gegevensbeschermingsautoriteit. Deze laatste stelde vast dat heel wat bedrijven reeds inbreuken hebben gemeld sedert 25 mei 2018, datum waarop de Algemene Verordening Gegevensbescherming in werking is getreden.

Het datalek moet binnen de 72 uren na kennisname worden gemeld aan de Gegevensbeschermingsautoriteit. De Gegevensbeschermingsautoriteit heeft nu een nieuw meldingsformulier opgesteld en beschikbaar gemaakt op haar website

Het meldingsformulier is omvangrijk, aangezien het 16 pagina's omvat met verschillende rubrieken, zoals onder andere:

  • Identificatie van de organisatie
  • Verwerking getroffen door het gegevenslek
    • Doeleinde van de verwerking (klantenbeheer, personeelsbeheer, enz.)
    • Aard van de persoonsgegevens (identificatiegegevens, gevoelige gegevens, enz.)
    • Aantal betrokkenen en omschrijving van de categorieën van betrokkenen
  • Beschrijving van het gegevenslek
    • Interne oorzaak (vb. personeel) of externe oorzaak (bv. hacker)
    • Menselijke handeling of systeemtechnische handeling
    • Per ongeluk of kwaadwillig
    • Samenvatting van de omstandigheden van het datalek
    • Detectie van het gegevenslek (interne melding, controleprocedure, controlesysteem, enz.)
  • Preventie en beheer van het gegevenslek met omschrijving van de technische en organisatorische maatregelen die werden genomen om de gelekte gegevens te beschermen (hashing, multi-factor authenticatie, encryptie, wipe op afstand, enz.)
  • Methode voor het beoordelen van de risico's voor de rechten en vrijheden van de betrokkenen 

Meer uitleg over datalekken?
Neem deel aan de Agoria Academy Data Protection

Op donderdag 25 oktober organiseert Agoria voor de vijfde keer een infodag over regelgeving en normen. Tijdens het #RSEVENT2018 'Reveal what's hidden' belichten we de recente evoluties in de Belgische wetgeving die een impact op privacy en gegevensbescherming.
Bekijk het volledige programma en schrijf in.