In de vorige blog bespraken wij één van de onderdelen van goed privacymanagement, het verwerkingsregister. Het incidentenregister, een overzicht van alle inbreuken binnen een organisatie, is een ander essentieel onderdeel van privacymanagement. Dit overzicht is essentieel omdat iedere organisatie op enig moment te maken krijgt met zo'n inbreuk, ongeacht hoe goed de getroffen (beveiligings)maatregelen zijn. Het register helpt bij het voldoen aan de verantwoordingsplicht die geldt onder de AVG. Heb jij er al één opgesteld?
Definitie datalek
Niet alle incidenten zijn datalekken, maar alle
datalekken zijn wel incidenten. De AVG geeft geen definitie van
incident of datalek, alleen van 'inbreuk in verband met
persoonsgegevens'. Dit is "een inbreuk op de
beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de
vernietiging, het verlies, de wijziging of de ongeoorloofde
verstrekking van of de ongeoorloofde toegang tot doorgezonden,
opgeslagen of anderszins verwerkte gegevens". In de
praktijk wordt dit doorgaans een datalek genoemd. Voorbeelden zijn
het versturen van een e-mail met persoonsgegevens aan een verkeerd
geadresseerde, het verlies van een laptop of het verlies van
(controle over) persoonsgegevens door een phishing of ransomware
aanval. Een incident is breder en is bijvoorbeeld het niet naleven
van het interne privacybeleid.
Registratieplicht voor alle incidenten
Jouw organisatie moet een incidentenregister aanleggen
waarin alle incidenten worden bijgehouden, dus ook de
incidenten die niet aan de Autoriteit Persoonsgegevens (AP) en/of
betrokkenen gemeld hoeven te worden. Dit register omvat in ieder
geval:
- de details van het incident;
- de (potentiële) gevolgen voor de betrokkenen;
- de genomen maatregelen.
Meldplicht bij de AP
Afhankelijk van de mogelijke impact voor de betrokkenen,
bestaat er een meldplicht van een datalek aan de AP. Het is aan de
organisatie om deze risico/impact-inschatting te maken aan de hand
van alle omstandigheden.
Heb je een datalek geconstateerd, een inschatting gemaakt en denk je dat het datalek gemeld moet worden bij de AP? Doe dat dan zo snel mogelijk, maar uiterlijk binnen 72 uur na signaleren. Het gaat om drie kalenderdagen, weekenden en feestdagen tellen dus mee voor de 72 uur. In het meldingsformulier op de website van de AP wordt o.a. gevraagd naar de aard van het datalek, het aantal betrokkenen en de genomen of voorgestelde maatregelen.
Afhankelijk van welke toezichthouder 'leidend' is bij een grensoverschrijdende verwerking binnen de Europese Economische Ruimte (EER), kan het zijn dat een datalek bij een andere (Europese) toezichthouder dan de AP gemeld moet worden. Voor verwerkingen buiten de EER gelden weer andere regels.
Uitzonderingen meldplicht
Een datalek hoeft in principe niet te worden gemeld
als:
- Het datalek geen risico's inhoudt voor de rechten en vrijheden van de betrokkene(n), bijvoorbeeld als de gecomprimeerde gegevens adequaat gehasht zijn.
- De persoonsgegevens per ongeluk verstuurd zijn aan een betrouwbare ontvanger. De AP ziet een partij waarmee een zakelijke relatie bestaat, bijvoorbeeld een vaste leverancier, als betrouwbaar. Ook ontvangers met een beroepsgeheim vallen onder betrouwbare ontvangers.
Melding aan betrokkenen
Soms moet een datalek ook gemeld worden aan de
betrokkene(n). Dat is het geval wanneer een hoog risico
bestaat op lichamelijke, materiele en/of immateriële schade
voor de betrokkene(n). In de AVG staan enkele uitzonderingen op
deze regel, bijvoorbeeld wanneer de gegevens dusdanig versleuteld
zijn dat ze onbegrijpelijk zijn voor onbevoegden. Een
financiële onderneming, zoals een bank of een verzekeraar,
wordt door art. 42 UAVG uitgezonderd van deze meldplicht aan
betrokkenen.
Verwerker
Een verwerker meldt een datalek in beginsel aan de
verwerkingsverantwoordelijke. Deze verantwoordelijke maakt
vervolgens de risico-inschatting en doet de eventuele melding aan
de AP. De 72 uur termijn begint voor de verantwoordelijke te lopen
zodra de verwerker de melding heeft gedaan. In de
verwerkersovereenkomst staan doorgaans afspraken over de onderlinge
procedure bij een datalek. Uitgangspunt daarbij is dat de verwerker
zoveel mogelijk medewerking verleent.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
