Voorzitter op vrijdag: "Diep vanbinnen gaat het om meer dan de staat van het gerechtsgebouw"
Datalekken
Indien zich een datalek of “inbreuk in verband met de persoonsgegevens” voordoet, hebt u als advocaat een documentatie- en (in bepaalde gevallen) meldplicht aan zowel de Gegevensbeschermingsautoriteit als de betrokkenen. Daarvoor stelt u best een procedure op.
Daarnaast moet u bij een datalek de nodige maatregelen treffen om de gevolgen te beperken en te vermijden dat dit zich in de toekomst nogmaals voordoet.
Wat u moet weten
Indien zich een “inbreuk in verband met de persoonsgegevens” voordoet (in de praktijk vaak “datalek” genoemd), heeft de advocaat een documentatieplicht en (in bepaalde gevallen) een meldplicht (artikelen 33 en 34 AVG).
Het begrip “inbreuk in verband met persoonsgegevens” is ruim en omvat inbreuken (per ongeluk of te kwader trouw) op:
- de vertrouwelijkheid van persoonsgegevens: dat zijn alle situaties waarbij er een ongeoorloofde toegang is geweest tot systemen met persoonsgegevens
- de beschikbaarheid van persoonsgegevens: dat is wanneer een onderneming niet langer controle heeft over of toegang heeft tot de persoonsgegevens, bijvoorbeeld omdat een systeem met persoonsgegevens van cliënten faalt en er geen back-up is van deze persoonsgegevens
- de integriteit van persoonsgegevens: dat is wanneer persoonsgegevens werden aangetast, bijvoorbeeld door foutieve wijzigingen
Aangezien de “verwerking” van persoonsgegevens een ruim begrip is (zie daarvoor het register van verwerkingsactiviteiten), kan een “inbreuk in verband met de persoonsgegevens” of een “datalek” zich niet alleen voordoen in de context van (elektronische) datasystemen, maar ook van papieren bestanden. Denk daarbij bijvoorbeeld aan een inbraak in een archiefkast of het kwijtraken van (een aktetas met) een dossier.
Ook een incident dat slechts tijdelijk is, bijvoorbeeld de tijdelijke onbeschikbaarheid van een datasysteem door een (ongeplande) stroomstoring, is een datalek (als het aan de voorwaarden hierboven voldoet).
Wat u moet doen
U moet een gegevensbeschermingsbeleid uitwerken om te voorkomen dat datalekken zich voordoen en maatregelen nemen om die incidenten te kunnen detecteren en remediëren wanneer ze zich voordoen. U kan meer lezen over de verplichting om beveiligingsmaatregelen te nemen in het volgende thema van de GDPR-wijzer.
In het licht van de interne documentatieplicht en de meldplicht, stelt u best een procedure op voor de (interne) melding van datalekken. Die procedure kan onder meer de volgende zaken inhouden: de definitie van het begrip ‘datalek’, een omschrijving van de verplichtingen die de AVG oplegt voor datalekken en de te volgen stappen voor het melden van datalekken (incl. de contactpersoon aan wie het datalek intern moet worden gemeld, de locatie van het intern documentatieformulier en de termijnen die daarvoor gelden).
U moet elk datalek intern documenteren. Die interne documentatie moet in elk geval de volgende zaken bevatten: de precieze omstandigheden van het datalek (oorzaak van het incident, het type incident, de omvang van het incident en de betrokken systemen en persoonsgegevens), de (mogelijke) gevolgen ervan voor de betrokken individuen en de genomen en/of geplande corrigerende maatregelen. Wanneer u van oordeel bent dat een datalek niet moet gemeld worden aan de Gegevensbeschermingsautoriteit, moet u de motivering voor die beslissing eveneens documenteren.
U moet elk datalek melden aan de Gegevensbeschermingsautoriteit, tenzij het onwaarschijnlijk is dat het een risico inhoudt voor de betrokkenen. Een datalek houdt geen risico in voor de betrokkenen wanneer u reeds passende beveiligingsmaatregelen heeft genomen, waardoor de persoonsgegevens die het voorwerp vormen van het datalek onbegrijpelijk zijn voor de onbevoegden die er toegang toe hebben gekregen (bijvoorbeeld door adequate versleuteling en adequate pseudonimisering).
Indien een melding aan de Gegevensbeschermingsautoriteit vereist is, moet de melding gebeuren uiterlijk binnen 72 uur nadat u kennis heeft genomen van het datalek. Vooraleer de termijn van 72 uur begint te lopen, beschikt u over een korte termijn om te onderzoeken of er wel degelijk sprake is van een datalek waarbij persoonsgegevens betrokken zijn. U moet het datalek melden via het elektronisch formulier op de website van de Gegevensbeschermingsautoriteit.
U moet een datalek verder onverwijld melden aan de betrokkenen zelf wanneer het waarschijnlijk is dat het datalek een hoog risico inhoudt voor die betrokkenen. Dat kan het geval zijn wanneer het datalek betrekking heeft op bijzondere categorieën van persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten van de betrokkenen. Er moet geen melding worden gedaan wanneer de corrigerende maatregelen ervoor zorgen dat het waarschijnlijk hoog risico voor de betrokkenen zich niet (langer) kan voordoen.
Indien een rechtstreekse melding aan de betrokkenen niet mogelijk is of onevenredig veel inspanning zou vragen, bijvoorbeeld omdat alle contactgegevens verloren zijn gegaan, is een publieke communicatie op uw website en/of sociale media ook toegelaten op voorwaarde dat deze communicatie losstaat van enige andere informatie.
De melding aan de betrokkene(n) moet minstens de volgende informatie bevatten:
- een omschrijving, in duidelijke en eenvoudige taal, van de aard van het datalek
- de naam en de contactgegevens van de DPO of een ander contactpunt waar meer informatie kan worden verkregen;
- informatie over (de waarschijnlijke gevolgen van) het datalek
- de genomen en/of geplande maatregelen om het datalek aan te pakken, inclusief (voor zover mogelijk) de maatregelen om de nadelige gevolgen van het datalek te beperken
Tot slot, moet u vanzelfsprekend – wanneer een datalek zich voordoet – de nodige maatregelen treffen om de gevolgen van het datalek te beperken en te vermijden dat dit zich in de toekomst nogmaals voordoet.
Praktische richtsnoeren/templates
De OVB heeft een model opgemaakt voor de interne documentatie van datalekken.
Het Europees Comité voor Gegevensbescherming heeft omstandige richtsnoeren uitgevaardigd met heel wat praktische voorbeelden van mogelijke incidenten waarbij een melding al dan niet vereist is, inclusief achterliggende risicoanalyse. De voorbeelden hebben onder meer betrekking op incidenten ten gevolge van ransomware, data exfiltratie, interne menselijke fouten of vergissingen, verloren of gestolen toestellen en documenten, het foutief versturen van informatie en het gebruik van technieken om informatie te verkrijgen die voor frauduleuze doeleinden kan worden gebruikt.
Ook de reeds eerder gepubliceerde richtsnoeren van het Comité en de Artikel 29-Werkgroep over de melding van datalekken bevatten – naast een meer algemene toelichting hierover– enkele nuttige voorbeelden (weliswaar minder uitgewerkt dan in de voormelde richtsnoeren).
Een datalek kan u via dit formulier aan de Gegevensbeschermingsautoriteit melden.
Frequently Asked Questions
Wanneer moet ik een datalek melden aan de Gegevensbeschermingsautoriteit? Hoe bepaal ik het risico dat met een datalek gepaard gaat?
U moet een datalek in principe steeds melden aan de Gegevensbeschermingsautoriteit. Enkel wanneer het onwaarschijnlijk is dat het datalek een risico inhoudt voor de betrokkenen, moet u het datalek niet melden. De verplichting om te melden is dus afhankelijk van het risico voor de betrokken individuen.
Hoe bepaalt u dat risico? Een goed startpunt zijn de Richtsnoeren van het Europees Comité voor Gegevensbescherming inzake voorbeelden betreffende de melding van datalekken. Die Richtsnoeren bevatten heel wat casussen met vaak voorkomende datalekken. Voor elke casus wordt een risicoanalyse gedaan met de conclusie of al dan niet moet worden gemeld. Meer algemene informatie over de parameters die relevant zijn voor het bepalen van het risico kan u terugvinden in de Richtsnoeren van het Europees Comité voor Gegevensbescherming voor de melding van datalekken. Daarnaast werden reeds meerdere methodologieën ontwikkeld voor het bepalen van het risico, bijvoorbeeld door het European Agency for Network and Information Security (ENISA). Als u beslist om gebruik te maken van dergelijke methodologieën is het aan te raden om voor alle datalekken dezelfde methodologie te gebruiken.
Vergeet niet dat u ook verplicht bent om het datalek aan de betrokken individuen te melden wanneer er een hoog risico is voor hen. Tot slot moet u in elk geval (dus ook wanneer een melding niet nodig is) elk datalek intern documenteren.
Is het verlies of de diefstal van een laptop een datalek?
Ja, het verlies of de diefstal van een laptop die voor professionele doeleinden wordt gebruikt, is een datalek dat in elk geval moet worden gedocumenteerd in het interne register van de advocaat. Of het datalek zal moeten worden gemeld, is afhankelijk van de risico’s die het datalek inhoudt voor de betrokkenen. Dit zal o.m. afhankelijk zijn van het soort gegevens die werden opgeslagen op de laptop, de beveiliging van de laptop en of er een back-up is van de persoonsgegevens. Stel dat de laptop van een advocaat die actief is in het arbeidsrecht wordt gestolen. De laptop stond uit op het moment van de diefstal en is beveiligd met een sterk paswoord. Ook de datasystemen op de laptop zijn goed beveiligd (paswoord, encryptie, …). Verder beschikt de advocaat over een back-up die up to date is zodat hij snel terug in het bezit is van alle gegevens op de laptop. Een dergelijk datalek moet niet gemeld worden aan de Gegevensbeschermingsautoriteit noch aan de betrokken cliënten. Indien daarentegen de laptop en de daarop geïnstalleerde datasystemen niet goed beveiligd waren (geen (sterk) paswoord, geen encryptie, …) waardoor de gegevens gemakkelijk beschikbaar zijn voor de persoon die de laptop vindt of heeft gestolen, zal een melding aan de Gegevensbeschermingsautoriteit en (wellicht) ook aan de betrokkenen vereist zijn, zelfs indien de laptop geen gevoelige persoonsgegevens bevatte.