Nieuws

Eerste hulp bij data-inbreuken

De Algemene Verordering Gegevensbescherming (ook wel genaamd: GDPR) riep een heel aantal verplichtingen in het leven voor ondernemers die in contact komen met persoonsgegevens. Eén van deze verplichtingen is het bijhouden van een inbreukenregister. Maar wat houdt deze verplichting nu precies in?

Elke inbreuk in verband met persoonsgegevens moet worden bijgehouden in een inbreukenregister om in regel te zijn met de GDPR. Een inbreuk in verband met de persoonsgegevens wordt door de GDPR omschreven als een inbreuk op de beveiliging die per ongeluk of op een onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of op een andere manier verwerkte persoonsgegevens (artikel 4 (12) AVG). Bijvoorbeeld, een gestolen of verloren laptop of smartphone, een hacking, enz.

Word je onderneming met zo’n inbreuk geconfronteerd, dan moet je zeer snel handelen en in functie van de zwaarte van de inbreuk zal je verschillende acties moeten ondernemen.

1. Breng de inbreuk in kaart

In eerste instantie is het belangrijk om de inbreuk in kaart te brengen. Kunnen de feiten worden geclassificeerd als een data-inbreuk? Wat zijn de omstandigheden van de inbreuk? Wat is de ernst van de inbreuk? Welke onmiddellijke maatregelen moeten worden genomen (bv. het vanop afstand verwijderen van data op de computer)?

2. Melding aan de Gegegevensbeschermingsautoriteit

De tweede vraag die moet worden gesteld is of de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkene. In dat geval dien je namelijk binnen de 72 uur na de kennisname van de inbreuk hiervan melding te maken bij de Gegevensbeschermingsautoriteit. Dit kan online op hun website. Als een risico voor de rechten en vrijheden van de betrokkene wordt beschouwd een inbreuk die kan leiden tot lichamelijke, materiële of immateriële schade voor de personen wier gegevens het voorwerp van de inbreuk zijn. Voorbeelden van risico’s zijn: identiteitsdiefstal of -fraude, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim geschende beroepsgegevens, discriminatie, verlies van controle over persoonsgegevens, enz.

3. Melding aan de betrokkene

Houdt de inbreuk een hoog risico in voor de rechten en vrijheden van de betrokkene, dan dient, naast een melding bij de Gegevensbeschermingsautoriteit, ook de betrokkene zelf zo spoedig mogelijk te worden geïnformeerd. Er wordt verondersteld sprake te zijn van een hoog risico als de inbreuk betrekking heeft op persoonsgegevens waaruit ras of etnische afkomst, politieke opvatting, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, of op persoonsgegevens die genetische gegevens of gegevens met betrekking tot de gezondheid of het seksleven, of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen omvatten.

De betrokkene moet in kennis worden gesteld van de aard van het incident, de persoon binnen het bedrijf bij wie meer informatie over het incident kan worden verkregen, de waarschijnlijke gevolgen van het incident in verband met de persoonsgegevens en de genomen maatregelen om de negatieve gevolgen van het incident aan te pakken. De melding dient in duidelijke en eenvoudige taal te gebeuren.

De mededeling aan de betrokkene is niet vereist indien aan de volgende voorwaarden werd voldaan: 1) er werden passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop het incident betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden (bv. Versleuteling), b) er werden achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, 3) de mededeling zou onevenredige inspanningen vergen.

4. Registratie in het inbreukenregister

Elke inbreuk (ongeacht de ernst of de aard) moet tot slot worden geregistreerd in een inbreukenregister. Naast een omschrijving van de inbreuk en de omstandigheden, dienen ook de ondernomen acties en maatregelen te worden opgenomen in het inbreukenregister.

Bijkomende vragen?

Heeft u vragen over de verplichtingen ingevolge de GDPR of werd u geconfronteerd met een data-inbreuk, dan kan u steeds terecht bij Mr. Tom Hermans, gecertificeerd DPO (Data Protection Officer) of Mr. Keoma Hendrickx.

Afspraak Maken