Herinnert u zich nog de aanvallen van Wannacry en Petya? Sindsdien zijn bedrijven extra waakzaam als het op datalekken aankomt, zeker wanneer er ook persoonsgegevens bij betrokken zijn. Wat zal er precies veranderen als de GDPR in werking treedt?


Vanaf 25 mei 2018 zal de AVG of General Data Protection Regulation (GDPR) van kracht zijn. Deze Europese Verordening brengt, in vergelijking met de huidige Privacywet van 8 december 1992, nieuwe verplichtingen met zich mee in geval van een inbreuk in verband met persoonsgegevens, ook wel datalek of personal data breach genoemd.

Een datalek bestaat wanneer er een inbreuk is op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen gegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4, 12) AVG).

Het betreft dus zeker niet alleen de gevallen waarbij personen te kwader trouw (hackers) persoonsgegevens proberen te bemachtigen of de toegang ertoe blokkeren door de persoonsgegevens te encrypteren door middel van ransomware, zoals in de eerste helft van 2017 onder de aandacht kwam met de Wannacry- en Petya-aanvallen waarbij de hackers losgeld vroegen om de toegang tot de gegevens opnieuw vrij te geven.

Hoewel aan die laatste categorie van aanvallen steeds veel media-aandacht wordt besteed, gebeuren meer dan 80% van de datalekken als het ware ‘per ongeluk’. Typische voorbeelden zijn het verliezen van een smartphone of USB-stick waarop een document staat met de namen van alle personeelsleden, hun salarissen en bonussen of het versturen van dit document per e-mail naar een externe persoon of zelfs naar een persoon binnen de onderneming waarvan wordt veronderstelt dat deze daar geen toegang toe moet hebben in het kader van zijn functie. Ook het crashen van een computer met als gevolg dat alle gegevens verloren zijn en er geen back-up bestaat van deze persoonsgegevens wordt beschouwd als een datalek.

Inbreuk documenteren en/of melden

Los van de operationele gevolgen waar een organisatie mee te kampen krijgt als gevolg van een datalek, brengt een dergelijke inbreuk verplichtingen met zich mee in het kader van de AVG.

De verwerkingsverantwoordelijke - i.e. diegene die beslist over het doeleinde van de gegevensverwerking en de middelen om die verwerking te voeren - dient in ieder geval alle inbreuken in verband met persoonsgegevens te documenteren. Zo zal deze naast de feiten omtrent de inbreuk ook de gevolgen ervan en de genomen corrigerende maatregelen dienen te beschrijven, zodat de gegevensbeschermingsautoriteit bij een latere controle kan nagaan of de AVG werd nageleefd (art. 33, §5 AVG). De gegevensbeschermingsautoriteit zal de huidige Commissie voor de Bescherming van de Persoonlijke Levenssfeer, ook wel Privacycommissie genoemd, vervangen. Deze entiteit zal tevens meer bevoegdheden en taken krijgen in een nieuwe wet waar momenteel de laatste hand aan wordt gelegd.

In bepaalde gevallen zal de verwerkingsverantwoordelijke een inbreuk op persoonsgegevens moeten melden aan de Gegevensbeschermingsautoriteit enerzijds en aan de betrokken perso(o)n(en) anderzijds.

De verwerkingsverantwoordelijke zal bij een datalek de Gegevensbeschermingsautoriteit informeren zonder onredelijke vertraging en uiterlijk binnen de 72 uur nadat hij kennis heeft genomen van het lek. Zoniet zal hij de vertraging dienen te motiveren (art. 33, §1 AVG).

Dit betekent dus dat van zodra de verwerkingsverantwoordelijke vaststelt dat er een inbreuk is, hij naast zijn zorgen om de inbreuk te verhelpen, de schade te beperken en desgevallend zijn organisatie weer op poten te zetten om zijn klanten opnieuw te bedienen, tevens moet denken aan het tijdig en ten laatste binnen de drie dagen melden van een dergelijke inbreuk.

De melding dient de volgende elementen te omvatten:

  • de aard van de inbreuk met toelichting over de categorieën van betrokkenen en aantal (vb. kinderen of werknemers);
  • de gelekte persoonsgegevens en het aantal (vb. gezondheidsgegevens, financiële gegevens);
  • de contactgegevens van de functionaris van de gegevensbescherming (ook Data Protection Officer genoemd) of een andere contactpersoon zodat de Gegevensbeschermingsautoriteit bijkomende informatie kan opvragen;
  • de waarschijnlijke gevolgen van de inbreuk (vb. identiteitsdiefstal, financiële verliezen);
  • de voorgestelde en de genomen maatregelen om de inbreuk te verhelpen of de nadelige gevolgen ervan te beperken (vb. het op afstand wipen van smartphone). Deze informatie kan wel in verschillende stadia gebeuren.

Wanneer is melding verplicht?

De verwerkingsverantwoordelijke zal het datalek echter pas moeten melden wanneer het waarschijnlijk is dat de inbreuk in verband met de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokken personen. Daarbovenop, stelt de AVG dat de betrokkenen onverwijld geïnformeerd moet worden wanneer het datalek een ‘hoog risico’ inhoudt voor de rechten en vrijheden van de betrokkenen.

Het kernwoord voor de beoordeling of de verwerkingsverantwoordelijke een datalek dient te notificeren is het ‘risico’. De termen ‘risico’ en ‘hoog risico’ waren voer tot discussie aangezien de AVG niet voorzag in criteria om datalekken te identificeren als een beperkt risico die geen aanleiding geeft tot notificatie, of als een inbreuk met risico of hoog risico waarbij wel een melding is vereist. De tweede functie van deze risicoanalyse is het bepalen van de maatregelen die de verantwoordelijke dient te nemen om de waarschijnlijkheid en ernst van het datalek te bepalen en om op correcte en efficiënte wijze te handelen.

De Werkgroep Artikel 29 (WP29), een overkoepelend orgaan waar de privacycommissies van de EU-Lidstaten vergaderen, heeft op 3 oktober 2017 een richtsnoer gepubliceerd waarin wordt toegelicht wanneer een verwerkingsverantwoordelijke een datalek zal moeten melden aan de bevoegde gegevensbeschermingsautoriteit.

De verwerkingsverantwoordelijke zal moeten beoordelen of het datalek een risico voor de rechten en vrijheden van de betrokkene vormt door de mogelijk nadelige gevolgen voor de betrokkene te analyseren. De gevolgen kunnen immers leiden tot fysieke, materiële en niet-materiële schade, zoals discriminatie, identiteitsdiefstal, financieel verlies, imagoschade, de onmogelijkheid om controle te hebben over zijn persoonsgegevens en er toegang toe te krijgen, enz.

WP29 heeft een aantal factoren opgelijst om de ernst van het risico te kunnen bepalen. Zo zal de aard en omvang van de inbreuk een impact hebben. Zijn de gezondheidsgegevens van iemand definitief verloren door een crash van het softwaresysteem of zijn deze gegevens in handen van een derde gekomen? Een tweede element is de gevoeligheid en het volume van de persoonsgegevens die gelekt zijn. Ook de combinatie van verschillende persoonsgegevens en de eenvoud om een persoon te identificeren kan leiden tot een hoog risico (vb. identiteitsdiefstal). Wanneer het gegevens over meer kwetsbare personen betreft zoals kinderen zal het risico eveneens hoger zijn. De nadelige gevolgen die een datalek met zich kan meebrengen voor de betrokkene, zoals imagoschade, dienen in rekening te worden gebracht. Zeker wanneer de persoonsgegevens in verkeerde handen vallen.

De mededeling aan de betrokkene is niet vereist wanneer:

  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen waardoor de persoonsgegevens onbegrijpelijk zijn gemaakt door bijvoorbeeld encryptie; wanneer
  • de verwerkingsverantwoordelijke nadien maatregelen heeft genomen om ervoor te zorgen dat het hoge risico zich niet meer zal voordoen of wanneer
  • de mededeling onevenredige inspanningen zou vergen. Echter, in dit laatste geval zal een openbare mededeling moeten gebeuren zodat de betrokkene even doeltreffend zal zijn geïnformeerd (art. 34, §3 AVG).

Het is aangeraden dat de verantwoordelijke bij de notificatie aan de betrokkene deze laatste tevens informeert over de maatregelen die de betrokkene zelf kan nemen om de risico’s te beperken zoals het wijzigen van wachtwoorden.

De gegevensbeschermingsautoriteit heeft ook steeds een beoordelingsmarge om te bepalen of de verwerkingsverantwoordelijke het datalek alsnog dient te melden aan de betrokkenen of, indien één van de uitzonderingen geldt en hij net geen melding hoeft te doen. Aangezien de verwerkingsverantwoordelijke iedere notificatie dient te documenteren, kan een goed gedocumenteerd document veelal in positieve zin helpen bij de beslissing van de gegevensbeschermingsautoriteit.

Wanneer de verwerkingsverantwoordelijke in het kader van het verwerken van de persoonsgegevens een beroep doet op een verwerker, bijvoorbeeld een sociaal secretariaat of een cloud provider, die persoonsgegevens enkel op instructie van de verwerkingsverantwoordelijke verwerkt, zal de verwerker iedere inbreuk onmiddellijk moeten melden aan de verantwoordelijke van zodra de verwerker er kennis van heeft genomen. Bovendien zal de verwerker bijstand verlenen aan de verantwoordelijke zodat deze laatste zijn verplichtingen zoals het documenteren van een inbreuk of het notificeren ervan kan naleven. Van zodra de verwerker de inbreuk heeft gemeld aan de verwerkingsverantwoordelijke zal diens notificatietermijn van 72 uur beginnen lopen.

Ten slotte dient de aandacht te worden gevestigd op mogelijks andere toepasselijke wetgeving die de notificatie van inbreuken vereist zoals artikel 114/1, §3 van de wet van 13 juni 2005 betreffende de elektronische communicatie die aanbieders van openbare elektronische communicatiediensten verplicht een inbreuk in verband met persoonsgegevens te melden aan de Privacycommissie. De Richtlijn 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (NIS-Richtlijn) stelt een notificatieplicht voor inbreuken in voor zowel digitale dienstverleners (online -marktplaatsen en -zoekmachines) als voor aanbieders van essentiële diensten (onder andere energie, vervoer, bankwezen, gezondheidszorg en digitale infrastructuur).

Gelet op deze bijkomende verplichtingen met zeer korte termijnen is het dus van het grootste belang om intern de nodige maatregelen en procedures te implementeren om datalekken te voorkomen of hun ernst te beperken. Indien een notificatie  vereist is, zal de verwerkingsverantwoordelijke dit op correcte en efficiënte wijze moeten aan te pakken om de schade voor de organisatie zoals administratieve boetes, maar ook slechte publiciteit zoveel mogelijk te beperken.

De consultaties met betrekking tot deze richtsnoer van de WP29 loopt nog tot 25 november 2017. U kan uw opmerkingen op de richtsnoer doorsturen naar thomas.vangremberghe@agoria.be en dit voor 23 november 2017.

Ook m.b.t. individuele besluitvorming en profiling werd er een richtsnoer van de WP29 gepubliceerd. Indien u hierover opmerkingen zou hebben, kunt u deze eveneens overmaken aan  thomas.vangremberghe@agoria.be en dit tevens voor 23 november 2017.

Agoria organiseert Data Protection Academies waar de problematiek over data breaches uitgebreid aan bod komt. Klik hier voor meer informatie en om u in te schrijven