In de vorige blog bespraken wij één van de onderdelen van goed privacymanagement, het verwerkingsregister. Het incidentenregister, een overzicht van alle inbreuken binnen een organisatie, is een ander essentieel onderdeel van privacymanagement. Dit overzicht is essentieel omdat iedere organisatie op enig moment te maken krijgt met zo’n inbreuk, ongeacht hoe goed de getroffen (beveiligings)maatregelen zijn. Het register helpt bij het voldoen aan de verantwoordingsplicht die geldt onder de AVG. Heb jij er al één opgesteld?
Definitie datalek
Niet alle incidenten zijn datalekken, maar alle datalekken zijn wel incidenten. De AVG geeft geen definitie van incident of datalek, alleen van ‘inbreuk in verband met persoonsgegevens’. Dit is “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. In de praktijk wordt dit doorgaans een datalek genoemd. Voorbeelden zijn het versturen van een e-mail met persoonsgegevens aan een verkeerd geadresseerde, het verlies van een laptop of het verlies van (controle over) persoonsgegevens door een phishing of ransomware aanval. Een incident is breder en is bijvoorbeeld het niet naleven van het interne privacybeleid.
Registratieplicht voor alle incidenten
Jouw organisatie moet een incidentenregister aanleggen waarin alle incidenten worden bijgehouden, dus ook de incidenten die niet aan de Autoriteit Persoonsgegevens (AP) en/of betrokkenen gemeld hoeven te worden. Dit register omvat in ieder geval:
Meldplicht bij de AP
Afhankelijk van de mogelijke impact voor de betrokkenen, bestaat er een meldplicht van een datalek aan de AP. Het is aan de organisatie om deze risico/impact-inschatting te maken aan de hand van alle omstandigheden.
Heb je een datalek geconstateerd, een inschatting gemaakt en denk je dat het datalek gemeld moet worden bij de AP? Doe dat dan zo snel mogelijk, maar uiterlijk binnen 72 uur na signaleren. Het gaat om drie kalenderdagen, weekenden en feestdagen tellen dus mee voor de 72 uur. In het meldingsformulier op de website van de AP wordt o.a. gevraagd naar de aard van het datalek, het aantal betrokkenen en de genomen of voorgestelde maatregelen.
Afhankelijk van welke toezichthouder ‘leidend’ is bij een grensoverschrijdende verwerking binnen de Europese Economische Ruimte (EER), kan het zijn dat een datalek bij een andere (Europese) toezichthouder dan de AP gemeld moet worden. Voor verwerkingen buiten de EER gelden weer andere regels.
Uitzonderingen meldplicht
Een datalek hoeft in principe niet te worden gemeld als:
Melding aan betrokkenen
Soms moet een datalek ook gemeld worden aan de betrokkene(n). Dat is het geval wanneer een hoog risico bestaat op lichamelijke, materiele en/of immateriële schade voor de betrokkene(n). In de AVG staan enkele uitzonderingen op deze regel, bijvoorbeeld wanneer de gegevens dusdanig versleuteld zijn dat ze onbegrijpelijk zijn voor onbevoegden. Een financiële onderneming, zoals een bank of een verzekeraar, wordt door art. 42 UAVG uitgezonderd van deze meldplicht aan betrokkenen.
Verwerker
Een verwerker meldt een datalek in beginsel aan de verwerkingsverantwoordelijke. Deze verantwoordelijke maakt vervolgens de risico-inschatting en doet de eventuele melding aan de AP. De 72 uur termijn begint voor de verantwoordelijke te lopen zodra de verwerker de melding heeft gedaan. In de verwerkersovereenkomst staan doorgaans afspraken over de onderlinge procedure bij een datalek. Uitgangspunt daarbij is dat de verwerker zoveel mogelijk medewerking verleent.
Twijfel je of een bepaald incident een datalek is dat gemeld moet worden of wil je jouw incidentenregister laten controleren? Onze specialisten staan voor je klaar!
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).
