Visterin Verdiept: Wat doen bij datalek?

Het is een van de meest opmerkelijke onderdelen van de GDPR-wetgeving die in mei vorig jaar in voegen raakte: datalekken en wat er mee te doen als je er als bedrijf mee geconfronteerd raakt. Wat moet en wat niet?

We halen de mosterd uit het Grote GDPR-handboek dat werd geschreven door Viktor D’Huys en Peter Witsenburg. Ook in het Computable Café op 20 maart komt die GDPR-wetgeving aan bod. Toeschouwers zijn dan in de mogelijkheid om een exemplaar te ontvangen van dit praktische GDPR-handboek. We bespreken alvast de belangrijkste vragen.

Wat doen bij een datalek?

Bij het vaststellen van een datalek is de eerste bekommernis de impact minimaal te houden. Los daarvan vereist de GDPR dat een verantwoordelijke voor de dataverwerking (zonder onredelijke vertraging) bij de Belgische gegevensbeschermingsautoriteit melding maakt van elk datalek dat waarschijnlijk een risico op een inbreuk tegen de privacy inhoudt. Als het risico waarschijnlijk hoog is, moeten de betrokkenen zelf ook op de hoogte gebracht worden.

Deze verplichting roept vragen op. Wanneer is een informatiebeveiligingsincident ook effectief een datalek? Wanneer is een datalek een risico op inbreuk op de privacy, en is er ook een risico op schade? Vanaf welk ogenblik loopt de tijd die je hebt om aangifte te doen? 

Moet je melden of niet?

In het boek halen Viktor D’Huys en Peter Witsenburg drie cruciale vragen aan. Aan de hand van deze drie kan je uitmaken of aangifte nodig is:

1. Zijn er effectief data gelekt? Als een incident het risico op een lek inhield, maar in feite zijn geen data openbaar geworden of bij verkeerde personen terechtgekomen, blijft het bij een incident. Dit noteer je dan eventueel wel in je interne incidentenlijst maar aangifte is niet nodig.

 2. Is er een risico? Als data buiten de beveiligde zones of buiten je organisatie terechtgekomen zijn, is het nog steeds mogelijk dat er dankzij de beschermingsmaatregelen eigenlijk geen risico is. De data kunnen bijvoorbeeld degelijk geëncrypteerd zijn en zullen dus door buitenstaanders niet gebruikt kunnen worden. 

3. Is het onmiddellijke risico op schade voor de betrokkenen groot? Bij een datalek met betaalkaartgegevens is er kans op financiële schade en moeten de betrokkenen zo snel mogelijk verwittigd worden, zodat ze zelf maatregelen kunnen nemen. Dit kan ook het geval zijn als het gaat om diverse soorten gevoelige informatie.

Wat is de rol van de DPO?

Als er persoonsgegevens bij het incident betrokken zijn, verwittig dan standaard je data protection officer (dpo). Als er geen officiële dpo is, moet in elk geval iemand deze rol op zich nemen. Het is de dpo die het best kan bepalen welk gewicht de data hebben en hoe groot de impact van een inbreuk zou kunnen zijn voor de betrokkenen en voor de verantwoordelijke voor de verwerking (je eigen organisatie of misschien je klant, als je zelf verwerker bent in opdracht van een ander). 

De dpo adviseert de organisatie over de communicatie die moet gebeuren en is ook best geplaatst om te beslissen of een aangifte bij de Belgische gegevensbeschermingsautoriteit nodig is.

Wat moet de melding omvatten?

De GDPR-wetgeving heeft begrip voor situaties waarin het bijna onmogelijk is alle betrokkenen individueel in te lichten. Een publieke communicatie voldoet dan ook. De GDPR legt ook vast welke informatie de melding moet bevatten:

• Een omschrijving van de inbreuk, met zo mogelijk de vermelding van het type van betrokkenen en de categorieën van gegevens. 
• De genomen maatregelen om de impact te beperken.
• Indien mogelijk een idee van het aantal betrokkenen. 
• De contactgegevens van de dpo of het contactpunt voor dataprivacy. 
• De waarschijnlijke gevolgen van de inbreuk. 

Wat is de timing?

Gedeelten van deze informatie zijn wellicht niet onmiddellijk bekend en kunnen pas na verdere analyse vastgesteld worden. De GDPR zegt dan ook niet dat ‘onmiddellijk’ aangifte gedaan moet worden maar wel ‘zonder onnodig uitstel’. Binnen de 72 uur nadat het datalek bij de verantwoordelijke is vastgesteld, geldt als de norm. Mits een goede motivatie kan de melding nog uitgesteld worden. Bovendien kan de informatie over de inbreuk na de eerste aangifte later aangevuld worden.

Wat als je in opdracht optreedt?

Dit is voor veel it-bedrijven het geval: als je niet de verantwoordelijke bent, maar als verwerker in opdracht optreedt, moet je bij datalekken extra op je hoede zijn. Je loopt immers het risico je eigen verantwoordelijkheidsdomein te overschrijden en daardoor zelf een grotere aansprakelijkheid te krijgen.  

In de meeste verwerkersovereenkomsten wordt daarom duidelijk vastgelegd dat een verwerker die een datalek vaststelt, onmiddellijk de verantwoordelijke moet contacteren en nooit zelf mag communiceren met de Belgische gegevensbeschermingsautoriteit of met de betrokkenen.

Wat bij niet melden?

Een datalek niet melden is een strafbaar feit en stelt de verantwoordelijke bloot aan potentieel erg hoge boetes. Anderzijds is het overzicht van meldingen van datalekken publieke informatie. Geen enkele firma staat daarin graag vermeld en al zeker niet als achteraf zou blijken dat er niet echt sprake was van een (risicovol) datalek. 

Omgekeerd wil ook niemand de reputatie hebben dat hij ernstige problemen heeft willen verdoezelen. ‘We mogen wellicht nog richtlijnen verwachten van de autoriteiten om beter af te bakenen in welke gevallen een aangifte wel of niet aangewezen is’, merken de auteurs op.

Wat is een incidentenlijst?

Hun advies is om in elk geval ieder incident te noteren in de interne incidentenlijst, die eveneens een verplichting van de GDPR is. ‘Daarin vermeld je de vastgestelde feiten, de gevolgen en de genomen corrigerende maatregelen. Als je betrokkenen niet inlicht of geen aangifte doet, kan je je argumentatie daar bewaren’, zo klinkt het bij de auteurs. ‘Zo kan je later altijd aantonen dat een incident wel degelijk was opgemerkt en dat je adequate maatregelen nam. Overigens levert dergelijke opvolging ook een belangrijke bijdrage aan de verbetering van je procedures en beschermingsmaatregelen.’