AVG (deel 4): Incidentenregister en meldplicht datalekken

In de vorige blog bespraken wij één van de onderdelen van goed privacymanagement, het verwerkingsregister.
Netherlands Privacy
To print this article, all you need is to be registered or login on Mondaq.com.

In de vorige blog bespraken wij één van de onderdelen van goed privacymanagement, het verwerkingsregister. Het incidentenregister, een overzicht van alle inbreuken binnen een organisatie, is een ander essentieel onderdeel van privacymanagement. Dit overzicht is essentieel omdat iedere organisatie op enig moment te maken krijgt met zo'n inbreuk, ongeacht hoe goed de getroffen (beveiligings)maatregelen zijn. Het register helpt bij het voldoen aan de verantwoordingsplicht die geldt onder de AVG. Heb jij er al één opgesteld?

Definitie datalek
Niet alle incidenten zijn datalekken, maar alle datalekken zijn wel incidenten. De AVG geeft geen definitie van incident of datalek, alleen van 'inbreuk in verband met persoonsgegevens'. Dit is "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens". In de praktijk wordt dit doorgaans een datalek genoemd. Voorbeelden zijn het versturen van een e-mail met persoonsgegevens aan een verkeerd geadresseerde, het verlies van een laptop of het verlies van (controle over) persoonsgegevens door een phishing of ransomware aanval. Een incident is breder en is bijvoorbeeld het niet naleven van het interne privacybeleid.

Registratieplicht voor alle incidenten
Jouw organisatie moet een incidentenregister aanleggen waarin alle incidenten worden bijgehouden, dus ook de incidenten die niet aan de Autoriteit Persoonsgegevens (AP) en/of betrokkenen gemeld hoeven te worden. Dit register omvat in ieder geval:

  1. de details van het incident;
  2. de (potentiële) gevolgen voor de betrokkenen;
  3. de genomen maatregelen.

Meldplicht bij de AP
Afhankelijk van de mogelijke impact voor de betrokkenen, bestaat er een meldplicht van een datalek aan de AP. Het is aan de organisatie om deze risico/impact-inschatting te maken aan de hand van alle omstandigheden.

Heb je een datalek geconstateerd, een inschatting gemaakt en denk je dat het datalek gemeld moet worden bij de AP? Doe dat dan zo snel mogelijk, maar uiterlijk binnen 72 uur na signaleren. Het gaat om drie kalenderdagen, weekenden en feestdagen tellen dus mee voor de 72 uur. In het meldingsformulier op de website van de AP wordt o.a. gevraagd naar de aard van het datalek, het aantal betrokkenen en de genomen of voorgestelde maatregelen.

Afhankelijk van welke toezichthouder 'leidend' is bij een grensoverschrijdende verwerking binnen de Europese Economische Ruimte (EER), kan het zijn dat een datalek bij een andere (Europese) toezichthouder dan de AP gemeld moet worden. Voor verwerkingen buiten de EER gelden weer andere regels.

Uitzonderingen meldplicht
Een datalek hoeft in principe niet te worden gemeld als:

  • Het datalek geen risico's inhoudt voor de rechten en vrijheden van de betrokkene(n), bijvoorbeeld als de gecomprimeerde gegevens adequaat gehasht zijn.
  • De persoonsgegevens per ongeluk verstuurd zijn aan een betrouwbare ontvanger. De AP ziet een partij waarmee een zakelijke relatie bestaat, bijvoorbeeld een vaste leverancier, als betrouwbaar. Ook ontvangers met een beroepsgeheim vallen onder betrouwbare ontvangers.

Melding aan betrokkenen
Soms moet een datalek ook gemeld worden aan de betrokkene(n). Dat is het geval wanneer een hoog risico bestaat op lichamelijke, materiele en/of immateriële schade voor de betrokkene(n). In de AVG staan enkele uitzonderingen op deze regel, bijvoorbeeld wanneer de gegevens dusdanig versleuteld zijn dat ze onbegrijpelijk zijn voor onbevoegden. Een financiële onderneming, zoals een bank of een verzekeraar, wordt door art. 42 UAVG uitgezonderd van deze meldplicht aan betrokkenen.

Verwerker
Een verwerker meldt een datalek in beginsel aan de verwerkingsverantwoordelijke. Deze verantwoordelijke maakt vervolgens de risico-inschatting en doet de eventuele melding aan de AP. De 72 uur termijn begint voor de verantwoordelijke te lopen zodra de verwerker de melding heeft gedaan. In de verwerkersovereenkomst staan doorgaans afspraken over de onderlinge procedure bij een datalek. Uitgangspunt daarbij is dat de verwerker zoveel mogelijk medewerking verleent.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More