GDPR: Hoe gegevenslekken melden?

Sinds 25 mei 2018 moet elke Belgische onderneming die gegevens van EU-burgers verzamelt, in regel zijn met de GDPR. De nieuwe privacywetgeving regelt de verwerking, het beheer en de bewaring van persoonsgegevens. De GDPR verplicht deze ondernemingen ook om incidenten met persoonsgegevens te melden aan de Gegevensbeschermingsautoriteit. Het formulier voor de melding van gegevenslekken is nu beschikbaar.

De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving die sinds 25 mei 2018 van kracht is.

Wat verstaan onder datalek?

Een datalek is elke inbreuk op de beveiliging waardoor al dan niet per ongeluk doorgezonden, opgeslagen of anderszins verwerkte gegevens worden vernietigd, verloren gaan of wijzigen. Het draait rond de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens (art. 4, 12 GDPR: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens). Gangbare voorbeelden zijn: een USB-stick met de klantendatabase is gestolen of verloren; persoonsgegevens zijn geëncrypteerd door ransomware (gijzelsoftware) en er is geen kopie; de verwerkingsverantwoordelijke is de sleutel kwijt van geëncrypteerde persoonsgegevens; een virus wist alle klantengegevens uit de database. Van zodra een onbevoegde toegang heeft tot de gegevens, kan er sprake zijn van een datalek. Kwaad opzet is geen voorwaarde om van een datalek te spreken.

Meldplicht is niet absoluut

Het melden van een datalek aan de Gegevensbeschermingsautoriteit (afgekort GBA, de nieuwe naam van de Privacycommissie) is niet altijd verplicht. Melding is alleen verplicht als het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. I.c. moet de verwerkingsverantwoordelijke het lek melden binnen de 72 uren na kennisname van het lek.
Daarnaast moet de onderneming de inbreuk melden aan de betrokkene zelf wanneer die een hoog risico loopt op schending van zijn fundamentele rechten.

Aan de melding gaat een risicoanalyse vooraf.
Kunnen de gevolgen van het gegevenslek leiden tot identiteitsdiefstal, financieel verlies of imagoschade voor de getroffen personen?
Is de kans op materiële of fysieke schade reëel? ...

Het is zeker ook geen overbodige luxe om in een register alle datalekken in de organisatie op te nemen. In dat register beschrijft de verantwoordelijke voor de verwerking van persoonsgegevens gedetailleerd het lek met een overzicht van de oorzaken, gevolgen en genomen maatregelen.

Elektronisch formulier

Gegevenslekken moeten voortaan aan de Gegevensbeschermingsautoriteit gemeld worden met een elektronisch formulier via een webportaal.

To do in 4 stappen:

Check of u de gegevenslek bij de GBA of de Vlaamse Toezichtcommissie (VTC) moet melden.

Download het elektronisch formulier als de GBA de bevoegde autoriteit is. U moet het formulier openen en invullen met een desktop of laptop; het gaat niet via een mobiel toestel.

Vul het gedownloade formulier elektronisch in via uw pc. Formulieren ingevuld met de hand en vervolgens gescand kunnen niet verzonden worden!

Verzend het ingevulde formulier via het eforms-webportaal van de GBA. Bij een geslaagde verzending ontvangt u een mail met een unieke code. Deze e-mail bewijst dat de mededeling van de contactgegevens geslaagd is.

Wanneer het gegevenslek verder onderzoek vergt, kan de organisatie hiervan een voorlopige melding doen.

Van Europese verordening naar Belgische kaderwet

De GDPR-verordening is rechtstreeks van toepassing in België maar regelt niet alles. Op 5 september ll. verscheen de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in het Belgisch Staatsblad. De bepalingen van deze kaderwet treden bijna allemaal onmiddellijk in werking. De wet verlaagt de leeftijd waarop kinderen zelf hun toestemming kunnen geven voor het verwerken van hun persoonsgegevens van 16 jaar naar 13 jaar en voert bijkomende beschermingsmaatregelen in voor genetische, biometrische en gezondheidsgegevens. Met ingang van 5 september wordt ook de bestaande Privacywet van 8 december 1992 en haar belangrijkste uitvoeringsbesluit, het koninklijk besluit van 13 februari 2001, opgeheven.