MAANDELIJKSE UPDATE AVGB: MELDPLICHT DATALEKKEN
Introductie
Onder de AVGB speelt beveiliging een prominente rol en de AVGB introduceert vergaande verplichtingen voor verantwoordelijken en verwerkers ten aanzien van beveiliging. Eén van deze verplichtingen is de meldplicht datalekken. In Nederland geldt al een vergelijkbare meldplicht op grond van de Wet bescherming persoonsgegevens (Wbp). Voor diverse andere EU-lidstaten introduceert de AVGB een geheel nieuwe meldplicht datalekken.
De meldplicht op grond van de AVGB verschilt op diverse punten van de meldplicht datalekken op grond van de Wbp. In deze negende AVGB-update behandelen wij de meldplicht datalekken op grond van de AVGB en de verschillen met de meldplicht datalekken op grond van de Wbp.
Wat zijn datalekken?
De AVGB geeft een ruime definitie van een datalek: "een
inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze
leidt tot de vernietiging, het verlies, de wijziging of de
ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
doorgezonden, opgeslagen of anderszins verwerkte
gegevens".
Deze definitie is niet beperkt tot een inbreuk in een databestand
door een hacker. Hieronder vallen ook kwijtgeraakte of gestolen
telefoons, laptops en USB-sticks, malware-infecties en
kwijtgeraakte data (bijvoorbeeld indien data is verwijderd en geen
actuele back-up beschikbaar is).
Melden aan de toezichthoudende autoriteit
Datalekken, indien niet tijdig en op passende wijze aangepakt, kunnen leiden tot schade voor de betrokkenen, waaronder discriminatie, identiteitsdiefstal, fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, et cetera.
Om die reden is de verantwoordelijke verplicht een datalek zonder onredelijke vertraging en, indien mogelijk, uiterlijk binnen 72 uur na ontdekking te melden aan de bevoegde toezichthoudende autoriteit. Dit stelt de toezichthoudende autoriteit in staat het datalek te beoordelen en te bepalen of nadere acties zijn vereist.
Melden is niet noodzakelijk indien het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit criteria wijkt enigszins af van het criteria onder de Wbp. Op grond van de Wbp moet een datalek gemeld worden indien het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Aldus lijkt op grond van de AVGB eerder sprake te zijn van een meldingsplicht.
Op grond van de AVGB dient de melding ten minste de volgende informatie te bevatten:
- de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en registers in kwestie en het aantal betrokkenen en registers in kwestie;
- de naam en de contactgegevens van de functionaris voor de gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; en
- de maatregelen die de verantwoordelijke heeft voorgesteld of heeft genomen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Indien de melding niet binnen 72 uur kan plaatsvinden, dient de verantwoordelijke de vertraging te onderbouwen. In de praktijk doen verantwoordelijken er goed aan de 72-uurstermijn te hanteren en interne procedures te implementeren die hen in staat stellen om de melding binnen deze termijn te kunnen verrichten.
Melden aan de betrokkenen
In aanvulling op de melding aan de toezichthoudende autoriteit is de verantwoordelijke verplicht om de betrokkenen de inbreuk onverwijld mee te delen, tenzij:
- het onwaarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen (gelet op de aard van het datalek of omdat de verantwoordelijke achteraf passende maatregelen heeft genomen);
- de verantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen heeft toegepast op de persoonsgegevens waarop het datalek betrekking heeft; of
- de mededeling onevenredige inspanningen vergt. In plaats daarvan komt er een openbare melding of soortgelijke oplossing waarbij de betrokkenen alsnog doeltreffend worden geïnformeerd. Dit zal gaan om uitzonderingsgevallen. Indien de betrokkenen per e-mail kunnen worden benaderd, zal er niet snel sprake zijn van een situatie waarin de mededeling onevenredige inspanningen vergt.
Deze criteria wijken eveneens enigszins af van de criteria op grond van de Wbp. Op grond van de Wbp dient het datalek te worden gemeld indien het waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, tenzij passende maatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegde personen. Daarmee lijkt de norm voor meldingen aan de betrokkenen onder de AVGB minder streng dan nu voor Nederland geldt op grond van de Wbp.
De melding aan de betrokkenen moet in duidelijke en eenvoudige taal een omschrijving van de aard van het datalek bevatten en verder ten minste dezelfde informatie die aan de toezichthoudende autoriteit is verstrekt (zie hierboven).
Indien de verantwoordelijke het datalek (nog) niet heeft gemeld aan de betrokkenen, kan de toezichthoudende autoriteit de verantwoordelijke daartoe verplichten. Het niet naleven van een dergelijke instructie kan resulteren in aanzienlijke boetes (zie hieronder).
Intern register van datalekken
De verantwoordelijke is verplicht om alle datalekken, inclusief de relevante feiten, de gevolgen en de getroffen maatregelen te documenteren.
Verplichtingen voor verwerkers
Op grond van de AVGB zijn verwerkers verplicht, nadat zij kennis hebben genomen van een datalek, zonder onredelijke vertraging de verantwoordelijke te informeren over het datalek. Dit stelt de verantwoordelijke in staat tijdig de noodzakelijke handelingen te verrichten. Organisaties doen er goed aan om duidelijke afspraken te maken ten aanzien van hoe en wanneer de verwerker datalekken aan de verantwoordelijke meldt. Het is verstandig om in de verwerkersovereenkomst op te nemen dat het beter is om een incident te melden dat achteraf geen datalek blijkt te zijn, dan niet te melden terwijl dit achteraf wel een datalek blijkt te zijn.
Boetes
Het niet voldoen aan de bovenvermelde verplichtingen kan resulteren in boetes van € 10.000.000 of 2% van de totale wereldwijde jaaromzet, indien dit cijfer hoger is. Niet-naleving van een bevel van de toezichthoudende autoriteit kan resulteren in boetes van € 20.000.000 of 4% van de totale wereldwijde jaaromzet, indien dit cijfer hoger is.
Praktische aanbevelingen en conclusie
Gelet op de beperkte tijd waarbinnen de toezichthoudende autoriteit en de betrokkenen moeten worden geïnformeerd, doen organisaties er goed aan om een intern plan op te stellen waarin de acties uiteen worden gezet die in het geval van een datalek moeten worden genomen, waaronder belangrijke contactpersonen (intern en extern), checklists en vervolgmaatregelen. Wereldwijde organisaties kunnen daarnaast overwegen om regionale/lokale response teams op te zeten (waaronder bijvoorbeeld experts op het gebied van forensische IT, juristen en PR adviseurs).
Overzicht van te behandelen onderwerpen
| Januari 2017 | Territoriale reikwijdte van de AVGB |
| Februari 2017 | Het concept van toestemming |
| Maart 2017 | Bijzondere persoonsgegevens |
| April 2017 | 'Accountability', 'Privacy by Design' en 'Privacy by Default' |
| Mei 2017 | Rechten van betrokkenen (informatievoorziening) |
| Juni 2017 | Rechten van betrokkenen (inzage,rectificatie en overdraagbaarheid) |
| Juli 2017 | Rechten van betrokkenen (bezwaar, verwijdering en beperking van verwerking |
| Augustus 2017 | Verwerkers |
| September 2017 | Datalekken en meldplichten |
| Oktober 2017 | Gegevensbeschermingseffectbeoordeling en de Functionaris voor de Gegevensbescherming |
| November 2017 | Doorgifte van persoonsgegevens (buiten de EER) |
| December 2017 | Toezichthouders (competenties, taken en bevoegdheden) |
| Januari 2018 | One Stop Shop |
| Februari 2018 | Sancties |
| Maart 2018 | Verwerkingen van persoonsgegevens in arbeidsverhoudingen |
| April 2018 | Profiliering en Retail |
| Mei 2018 | Overzicht |
Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
