GDPR (18) Wat te doen bij een datalek – Meldingsplicht

29 december 2017

Bij het vaststellen van een datalek is de eerste bekommernis de impact minimaal te houden. Daarover hadden we het in de vorige aflevering. Los daarvan vereist de GDPR dat je als verantwoordelijke voor de verwerking zonder onredelijke vertraging bij de gegevensbeschermingsautoriteit melding maakt van elk datalek dat waarschijnlijk een risico op een inbreuk tegen de privacy inhoudt. Als het risico waarschijnlijk  hoog is, moeten de betrokkenen zelf ook op de hoogte gebracht worden.

Deze verplichting roept heel wat vragen op. Wanneer is een informatiebeveiligingsincident ook effectief een datalek? Wanneer vormt een datalek een risico op inbreuk op de privacy? Wanneer is er ernstig risico op schade? Vanaf welk ogenblik ben je op de hoogte en loopt de tijd die je hebt om aangifte te doen?

Als persoonsgegevens bij het incident betrokken zijn, verwittig dan standaard je Data Protection Officer. Als er geen officiële DPO is, moet in elk geval iemand deze rol op zich nemen. Het is de DPO die het best kan bepalen welk gewicht de data hebben en hoe groot de impact van een inbreuk zou kunnen zijn voor de betrokkenen en voor de verantwoordelijke voor de verwerking (je eigen organisatie of misschien je klant, als je zelf verwerker bent in opdracht van een ander). De DPO adviseert de organisatie omtrent de communicatie die moet gebeuren. Hij is het best geplaatst om te beslissen of aangifte bij de privacycommissie nodig is en welke informatie al meteen kan doorgegeven worden.

Wat vereenvoudigd zou je met drie vragen kunnen uitmaken of aangifte nodig is:

  • Is er effectief data gelekt? Als een incident het risico op een lek inhield, maar in feite zijn geen data openbaar geworden of bij verkeerde personen terechtgekomen, blijft het bij een incident. Dit noteer je wel in je interne incidentenlijst maar aangifte is niet nodig.
  • Is er waarschijnlijk geen risico? Als data buiten de beveiligde zones of buiten je organisatie terechtgekomen zijn, is het nog steeds mogelijk dat er dank zij de beschermingsmaatregelen in feite geen risico is. De data kunnen bijvoorbeeld degelijk geëncrypteerd zijn en zullen dus door buitenstaanders niet gebruikt kunnen worden.
  • Is het onmiddellijke risico op schade voor de betrokkenen groot? Bij een datalek met betaalkaartgegevens is er kans op financiële schade en moeten de betrokkenen zo snel mogelijk verwittigd worden, zodat ze ook zelf maatregelen kunnen nemen. Dit kan ook het geval zijn als het gaat om diverse soorten gevoelige informatie. Gaat het om triviale data, dan is het zeker minder dringend iedereen op de hoogte te brengen. De GDPR heeft ook begrip voor situaties waarin het bijna onmogelijk is alle betrokkenen individueel in te lichten. Een publieke communicatie voldoet dan ook.

De GDPR legt ook vast welke informatie de melding moet bevatten:

  • een omschrijving van de inbreuk, met zo mogelijk de vermelding van het type van betrokkenen en de categorieën van gegevens
  • indien mogelijk bij benadering het aantal betrokkenen
  • de contactgegevens van de DPO of het contactpunt voor data privacy
  • De waarschijnlijke gevolgen van de inbreuk
  • De door het incident team genomen maatregelen om de impact te beperken

Gedeelten van deze informatie zijn wellicht niet onmiddellijk bekend en kunnen pas na verdere analyse vastgesteld worden. De GDPR zegt dan ook niet dat ‘onmiddellijk’ aangifte gedaan moet worden maar wel ‘zonder onnodig uitstel’. Binnen de 72 uur nadat het datalek bij de verantwoordelijke is vastgesteld, geldt als de norm. Mits een goede motivatie kan de melding ook langer uitgesteld worden. De informatie over de inbreuk kan overigens na de eerste aangifte later verder aangevuld worden.

Als je niet de verantwoordelijke bent maar als verwerker in opdracht optreedt, moet je bij datalekken extra op je hoede zijn. Je loopt immers het risico je eigen verantwoordelijkheidsdomein te overschrijden en daardoor zelf een grotere aansprakelijkheid te krijgen. In de meeste verwerkersovereenkomsten wordt daarom duidelijk vastgelegd dat een verwerker die een datalek vaststelt, onmiddellijk de verantwoordelijke moet contacteren en nooit zelf communicatie mag voeren met de privacy commissie of met betrokkenen. Communiceren met de pers kan je eveneens beter overlaten aan de verantwoordelijke. Waar de verantwoordelijke van de wetgever in normale omstandigheden tot 72 uur de tijd krijgt, is de verwachting dat een verwerker die een inbreuk vaststelt, dit wel zo snel mogelijk doorgeeft aan de verantwoordelijke. Dat geeft deze de gelegenheid meteen zijn taken op zich te nemen. Contracten leggen de verwerker vaak op te reageren binnen de 24 uur, hoewel de wet zelf eveneens van 72 uur spreekt.

Het zal niet altijd gemakkelijk zijn te bepalen welke communicatie en welke meldingen noodzakelijk zijn. Een datalek niet melden is een strafbaar feit en stelt de verantwoordelijke bloot aan boetes, die potentieel erg hoog kunnen zijn. Anderzijds is het overzicht van meldingen van datalekken publieke informatie. Geen enkele firma staat daarin graag vermeld en al zeker niet als achteraf zou blijken dat er niet echt van een datalek sprake was of dat de data zo goed beschermd waren dat er geen enkel risico op schade is geweest. Voordat dit duidelijk is, kan je al een hoop imagoschade opgelopen hebben. Omgekeerd wil ook niemand de reputatie hebben dat hij ernstige problemen heeft willen verdoezelen of in de doofpot steken. In dat opzicht is openheid en transparantie toch nog altijd te verkiezen. We mogen wellicht nog richtlijnen verwachten van de autoriteiten om beter af te bakenen in welke gevallen een aangifte wel of niet aangewezen is. Privacy specialisten waarschuwen overigens ook voor het gevaar dat bedrijven bij twijfel om boetes te voorkomen te snel aangifte zullen doen en dat de autoriteiten daardoor overspoeld zullen worden door aangiftes die ze niet kunnen controleren en verwerken. Dat is bijvoorbeeld in Nederland, waar deze meldingsplicht al een tijd geldt door een nationale wet, aanvankelijk wel degelijk gebeurd.

Mijn advies is om in elk geval ieder incident te noteren in de interne incidentenlijst, die eveneens een verplichting van de GDPR is. Daarin vermeld je de vastgestelde feiten, de gevolgen en de genomen corrigerende maatregelen. Je kunt er ook de argumentatie documenteren om bijvoorbeeld geen aangifte te doen of de betrokkenen niet in te lichten. Zo kan later altijd aangetoond worden dat een incident wel degelijk was opgemerkt en dat adequate maatregelen genomen zijn. Overigens levert dergelijke opvolging ook een belangrijke bijdrage aan de verbetering van je procedures en beschermingsmaatregelen.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING