Home

Wat is een datalek (data breach), en waar moet ik het volgens de AVG melden?

Volgens de AVG moet u een inbreuk in verband met persoonsgegevens in de meeste gevallen melden bij de relevante toezichthouder. Dit is zeker het geval wanneer de rechten en vrijheden van de betrokkene door de inbreuk in gevaar komen. Wat is een inbreuk en bij welke toezichthoudende autoriteit moet de melding worden gedaan? In dit artikel bespreken we kort de antwoorden op deze vragen. 

Wat is een datalek?

Ten eerste is het belangrijk om te weten dat de AVG misschien situaties als datalek aanmerkt die volgens uw beveiligingsfunctionaris geen inbreuk zijn. Volgens art. 4 AVG is een inbreuk in verband met persoonsgegevens bijvoorbeeld “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Uit andere delen, bijvoorbeeld art. 32 AVG over de beveiliging van persoonsgegevensverwerking, en overweging 49, kunnen we opmaken dat onbeschikbaarheid van systemen ook wordt aangemerkt als een inbreuk — terwijl een beveiligingsfunctionaris misschien zou beweren dat het niet beschikbaar zijn van de gegevens de beste garantie is tegen lekken. Maar het argument van de beveiligingsfunctionaris snijdt volgens de AVG geen hout.  Situaties waarin de persoonsgegevens zonder toestemming worden gelezen, gekopieerd, gewijzigd, verwijderd of bekendgemaakt, zullen in veel gevallen ook als inbreuk worden beschouwd. Daarom moeten beveiligingsfunctionarissen ervoor zorgen dat alle software die voor de verwerking van persoonsgegevens wordt gebruikt betrouwbaar is.

avg

Waar moet u een AVG-gegevensinbreuk melden?

Een inbreuk moet worden gemeld aan de toezichthoudende autoriteit. Ieder EU-land heeft haar eigen toezichthoudende autoriteit. Duitsland heeft bijvoorbeeld een eigen autoriteit voor elk van zijn staten (‘Länder’). Is uw organisatie (enkel) in Frankrijk gevestigd, en verwerkt u uitsluitend gegevens van Franse betrokkenen? Dan zult u de Franse toezichthoudende autoriteit moeten inlichten. Maar de situatie wordt ingewikkelder wanneer u meerdere vestigingslanden heeft, of wanneer u van buiten de Europese Unie werkt.
De situatie wordt zelfs nog complexer voor organisaties met vestigingen in verschillende EU-landen, die betrokkenen uit verschillende landen bedienen.

In dat geval moet de inbreuk worden gemeld aan de ‘leidende toezichthoudende autoriteit’, of LTA. Wanneer de verwerkingsactiviteit in verschillende landen plaatsvindt wordt de leidende toezichthoudende autoriteit (meestal) bepaald door de plaats van de hoofdvestiging of enige vestiging van de organisatie die de grensoverschrijdende verwerkingsactiviteiten uitvoert (art. 56 par. 1 AVG).

Wanneer uw organisatie zich buiten de Europese Unie bevindt, moet het een vertegenwoordiger in de Europese Unie hebben. Nu begint de zaak erg interessant te worden: formeel gezien moet de AVG beschermen tegen zogenoemd ‘forum shopping’; de mogelijkheid om de ‘mildste’ toezichthoudende autoriteit te kiezen.

Echter, uw organisatie is vrij het land te kiezen waar de vertegenwoordiger gevestigd is. Forum shopping is dus wel degelijk mogelijk, al kiest u het land van vertegenwoordiging natuurlijk niet ten tijde van de inbreuk, maar ervoor.

Wat moet een kennisgeving van datalek aan de LTA bevatten?

LTA’s mogen hun hun eigen formulieren gebruiken, maar de algemene richtlijnen voor de kennisgeving vindt u in artikel 33 AVG. De kennisgeving moet het volgende bevatten:

•   de aard van de inbreuk, inclusief — waar mogelijk — de categorieën van persoonsgegevens, het aantal persoonsgegevensregisters in kwestie, en het aantal betrokkenen;

•   de naam en contactgegevens van de functionaris voor gegevensbescherming, of een ander contactpersoon;

•   een beschrijving van de waarschijnlijke gevolgen van de inbreuk voor de betrokkene;

•   de genomen maatregelen om de gevolgen van de inbreuk aan te pakken, inclusief de beperkende maatregelen.

Volgens art. 33(5) AVG moet de verwerkingsverantwoordelijke alle inbreuken documenteren, met inbegrip van de gevallen die niet aan de toezichthoudende autoriteit gemeld hoefden te worden (of aan de betrokkene, een ander onderwerp, dat we niet in dit artikel behandelen). Ondersteunende software kan helpen bij het onderhouden van dit register voor de onderzoeken en verificatie van iedere toezichthoudende autoriteit.

Laurens Mommers
COO PrivacyPerfect