396336565026791
 

Datalek ? Bij ons zal dat nooit gebeuren ...Zeker ?

Bijgewerkt op: 1 apr.

We horen het allemaal wel in het nieuws dat persoonsgegevens wel eens gelekt worden.


Maar wat betekent dit nu ? Wat is een datalek ?



Volgens de autoriteiten is dit de omschrijving :


Artikel 4 van de AVG definieert een aantal belangrijke termen. Zo omschrijft puntje 12 een datalek (“inbreuk in verband met persoonsgegevens”) als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.


Het is dus niet vereist dat een derde gebruikmaakt van de persoonsgegevens. Het feit dat een onbevoegde er toegang toe heeft is voldoende om te kunnen spreken over een datalek.


Meld een datalek altijd eerst intern aan de DPO. Hij/Zij is het best in staat om in te schatten wat de impact is van het datalek en hoe er best over gecommuniceerd wordt richting betrokkenen, indien nodig.



Voorbeelden van datalekken zijn:

  • het hacken van een computer waarop persoonsgegevens staan;

  • het verkeerd versturen van e-mails (bv. iemand in het TO-veld zetten in plaats van in het BCC-veld);

  • het verliezen van usb-sticks;

  • het plaatsen van vertrouwelijke data op een publieke website;

  • het verliezen van encryptiesleutels of paswoordgegevens;

  • het verliezen van informatie m.b.t. betaalkaarten;

  • het verliezen van persoonsgegevens door acute stroomuitval;

Bij twijfel of iets al dan niet als een datalek moet beschouwd worden kunt u telkens contact opnemen met de Gegevensbeschermingsautoriteit: contact@apd-gba.be


In 2020 ontving de Autoriteit Persoonsgegevens (AP) 23.976 datalekmeldingen. Dat is een daling van 11% ten opzichte van 2019.

Deze daling komt vooral omdat incassobureaus minder datalekken hebben gemeld. Doordat zij hun werkwijze hebben aangepast, zijn er namelijk veel minder betalingsherinneringen bij verkeerde ontvangers terechtgekomen.


Meer hacking, malware & phishing

Het aantal meldingen naar aanleiding van hacking, malware of phishing-incidenten is daarentegen gestegen met 30% vergeleken met 2019.


Sectoren

De meeste datalekmeldingen kwamen in 2020 uit de sector gezondheid en welzijn (30%), gevolgd door financiële dienstverlening en openbaar bestuur (beide 22%).

Vergeleken met 2019 is het aantal meldingen vanuit de zorg gedaald met 4%, vanuit de financiële sector gedaald met 34% en vanuit de overheid gestegen met 13%.

De stijging bij de overheid komt vooral doordat er meer persoonsgegevens zijn afgegeven of verstuurd aan een verkeerde ontvanger.


Maar ook andere sectoren zoals HR bedrijven, automotive en zelfs de registratie van auto's in Nederland werden getroffen.


Bij een datalek denken we meestal aan een slecht werkende beveiliging, en meestal is dat ook zo. Maar bedrijven worden slachtoffer van cyberattacks die uitmonden in het verhandelen van persoonsgegevens op de 'zwarte markt' of het darkweb ook wel eens genoemd zonder dat ze beseffen hiervoor in aanmerking te komen..Omdat ze uitgaan van het feit dat ze zeer goed beveiligd zijn. De digitale criminaliteit neemt echter angstaanjagend toe in snelheid en het wordt moeilijker om dit bij te houden.


Patches en updates van software, antiviruspakketten, en dergelijke mogen niet uitgesteld worden met dagen, weken of maanden. Als zichzelf respecterend bedrijf moet je snel ageren en die updates doorvoeren. Want als je het niet doet, vindt iemand misschien het achterpoortje....en kan je een lek hebben, data verliezen en zelfs je bedrijf geblokkeerd zien worden. Meestal worden sommen geld gevraagd om dit dan voor je op te lossen. Maar ben je zeker dat het dan ook wel zo is ? Nooit.



Daarom geldt de regel : beter voorkomen dan genezen !


Wat moet je nou doen als het toch zou gebeuren ?


o, ik hoor je al denken : bij ons zal dat nooit gebeuren !



Laat ons even enkele simpele voorbeelden aanhalen die je veel kopzorgen kunnen veroorzaken.


Heeft je bedrijf een politiek in verband met dataopslag ? Daarmee bedoel ik : wordt bv USB sticks verboden ? Deze kunnen nl. persoonsgegevens bevatten en opzettelijk , of niet, verloren gaan.


Nog eentje : de computer van één van je medewerkers wordt gestolen. Nou niet erg want alles staat toch op de server. Maar weet je of nou net die medewerker geen geheugensteuntje in zijn computertas bewaart om zijn paswoord en login niet te vergeten ? Of misschien zit in die tas wel een mooie printout van alle werknemers hun loonberekening ?


Voorbeelden die aantonen dat het zeer snel kan gaan en je in een akelige situatie geraakt die je verplicht bent te melden aan autoriteit en getroffenen.


Eerst en vooral : niet panikeren !


Het zal je wel wat stress geven want je meldingsplicht bij de autoriteit moet binnen de 72 u gebeuren. En zij die al ervaring hebben , weten dat dit kortdag is als je een onderzoek moet doen naar de oorzaak, wat, hoe, etc.

Gelukkig kan je wat uitstel vragen en is je eerste melding een voorlopige misschien.


Neem volgende stappen:

  • Ga na of je het datalek aan de Gegevensbeschermingsautoriteit moet melden.

  • Ga na of je het datalek aan de betrokkenen moet melden.

  • Documenteer het datalek in een datalekregister (intern document).

  • Meld het datalek aan de Gegevensbeschermingsautoriteit en, indien vereist, aan de betrokkenen.

  • Neem de nodige maatregelen om het datalek op te lossen.

Meldingsplicht



Meld een datalek altijd eerst aan de DPO van uw organisatie. Hij/Zij heeft de nodige kennis om te bepalen of het lek moet gemeld worden en aan wie. Ook kan deze persoon adviseren welke maatregelen de organisatie moet nemen om het datalek op passende wijze weg te werken.

Om te bepalen of het datalek extern moet worden gemeld, moet je je eerst 2 essentiële vragen stellen.

  • Vormt het datalek een bedreiging voor de rechten en vrijheden van de betrokkenen?

Of anders gezegd: heeft het datalek betrekking op persoonsgegevens van gevoelige aard en/of leidt het tot ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens of de kans hierop?

Persoonsgegevens van gevoelige aard zijn:

  • bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen en gegevens over gezondheid;

  • Rijksregisternummer;

  • gegevens die kunnen leiden tot stigmatisering of uitsluiting;

  • gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim.

Factoren met (kans op) ernstige nadelige gevolgen:

  • omvangrijke verwerkingen of een keten van gegevensverwerking;

  • ingrijpende beslissingen die worden genomen met de gegevens;

  • kwetsbare groepen zoals kinderen en gehandicapten.

Als het antwoord op de vraag negatief is, los het datalek dan intern op. Je hoeft het niet extern te melden. Je hoeft ook geen rekening te houden met vraag 2.

Als het antwoord op de vraag positief is, meld dan het datalek aan de GBA. Los het vervolgens op. Ga naar vraag 2 om te bepalen of je het lek ook aan de betrokkenen moet melden.

  • Houd de inbreuk waarschijnlijk een hoog risico in voor de rechten en vrijheden van natuurlijke personen?

Met andere woorden heeft de inbreuk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?

Het kernwoord hier is risico. De termen ‘risico’ en ‘hoog risico’ zijn voer voor discussie geweest aangezien de AVG weinig duidelijkheid schept hieromtrent. Daarom heeft de Working Party 29 op 3 oktober 2017 de ‘Guidelines on Personal data breach notification under Regulation 2016/679’ gepubliceerd, waarin het een aantal factoren oplijst die leiden tot een hoger risico:

  • aard en omvang van de inbreuk;

  • gevoeligheid en het volume van de persoonsgegevens;

  • de combinatie van verschillende persoonsgegevens en het gemak om er een persoon mee te identificeren;

  • persoonsgegevens die betrekking hebben op kwetsbare personen (bv. kinderen).

Is het antwoord op de vraag negatief, dan is het voldoende om het datalek te melden aan de Gegevensbeschermingsautoriteit. Je hoeft het datalek niet te melden aan de betrokkenen.

Is het antwoord op de vraag positief, dan moet je het datalek zowel aan de Gegevensbeschermingsautoriteit als aan alle betrokkenen melden.

De richtlijn van WP29 geeft ook mee dat de mededeling aan de betrokkene niet vereist is wanneer:

  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen waardoor de persoonsgegevens onbegrijpelijk zijn gemaakt door bijvoorbeeld encryptie;

  • de verwerkingsverantwoordelijke nadien maatregelen heeft genomen om ervoor te zorgen dat het hoge risico zich niet meer zal voordoen;

  • de mededeling onevenredige inspanningen zou vergen. Echter, in dit laatste geval zal een openbare mededeling moeten gebeuren zodat de betrokkene even doeltreffend zal zijn geïnformeerd (art. 34, §3 AVG).



Voordat je een datalek meldt aan de betrokkenen, meld je het aan de Gegevensbeschermingsautoriteit. Deze kan je helpen beslissen of het nodig is om de betrokkenen op de hoogte te stellen van het lek. De gegevensbeschermingsautoriteit heeft steeds een beoordelingsmarge om te bepalen of een dergelijke melding aan de betrokkenen vereist is, of, indien één van de uitzonderingen geldt, hij net geen melding hoeft te doen. Aangezien de verwerkingsverantwoordelijke iedere notificatie dient te documenteren, kan een goed gedocumenteerd document veelal in positieve zin helpen bij de beslissing van de gegevensbeschermingsautoriteit.


Hoe meld ik een datalek aan de Gegevensbeschermingsautoriteit?

Verzamel eerst en vooral de noodzakelijke informatie over het datalek. Hoe meer hoe beter. Volgende elementen zijn alvast een minimum:

  • de aard van het datalek, waar mogelijk met toelichting van de categorieën van betrokkenen en het aantal betrokkenen (bv. kinderen of werknemers);

  • de naam van de persoon met wie de Gegevensbeschermingsautoriteit contact kan opnemen voor meer informatie (dit kan de Data Protection Officer zijn of een andere contactpersoon);

  • de (waarschijnlijke) gevolgen van het datalek (bv. identiteitsdiefstal, financiële verliezen);

  • de voorgestelde en genomen maatregelen om de inbreuk te verhelpen of de nadelige gevolgen ervan te beperken (bv. het op afstand wipen van smartphone).

Vul daarna het online formulier in dat u hier kunt downloaden: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen

Upload het ingevulde formulier hier: https://eforms.gegevensbeschermingsautoriteit.be/privacy-commission/home/public/upload?language=nl

De verantwoordelijke gegevensverwerking moet het datalek binnen de 72 u na kennisname melden aan de Gegevensbeschermingsautoriteit. Zie verder voor meer info rond de termijn.

Dankzij de melding kan de Gegevensbeschermingsautoriteit samen met de verantwoordelijke voor de verwerking van de gelekte gegevens de impact van het gegevenslek inschatten, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

Hoe meld ik een datalek aan betrokkenen?

Contacteer alle betrokkenen die door het datalek geschaad kunnen worden. De DPO is het best in staat om te bepalen wat de meest geschikte communicatiedrager is.

Houd er rekening mee dat je misschien niet beschikt over de noodzakelijke gegevens van alle betrokkenen, of dat de betrokkenen niet altijd via gangbare communicatiemiddelen bereikbaar zijn. Als je bv. geen e-mailadres of telefoonnummer hebt van de betrokkenen, of je weet dat er betrokkenen zijn die je helemaal niet kunt bereiken, dan kun je overwegen om een persbericht te verspreiden, of om een publicatie op je openbare website te plaatsen.

Meld zowel de aard van de inbreuk als aanbevelingen over hoe de betrokkene mogelijke negatieve gevolgen kan beperken (artikel 34 AVG). Een mogelijke aanbeveling is het wijzigen van een wachtwoord.

Meld een datalek ‘onverwijld’ (lees onmiddellijk) aan alle betrokkenen. Zie verder voor meer info over de termijn.

Wat als je als verwerkingsverantwoordelijke werkt met een of meerdere verwerkers, en een van de verwerkers ontdekt een datalek?



In dat geval moet de verwerker het datalek ‘zonder onredelijke vertraging’ (lees: zo snel mogelijk) aan de verwerkingsverantwoordelijke melden (zie verder voor meer info). Bovendien moet de verwerker de verwerkingsverantwoordelijk zo goed mogelijk bijstaan wanneer deze het lek documenteert in zijn datalekregister. De termijn voor datalekmelding begint te lopen na kennisname van het lek door de verwerkingsverantwoordelijke, dus vanaf dat de verwerker het lek aan de verwerkingsverantwoordelijke heeft gemeld.

Het is een ‘good practice’ om in de verwerkersovereenkomst te bepalen wat de verwerker moet doen ingeval van een datalek: welke gegevens hij moet doorgeven aan de verwerkingsverantwoordelijke en binnen welke termijn na kennisname (door de verwerker!) dit moet gebeuren.



Hoe snel moet de melding van het datalek gebeuren?

Het is belangrijk om op dit punt het onderscheid te maken tussen 3 soorten meldingen:

  • melding aan de Gegevensbeschermingsautoriteit;

  • melding aan de betrokkene;

  • melding verwerker aan verwerkingsverantwoordelijke.

Een kernbegrip hier is ‘kennisname’. De termijn voor de melding van het datalek begint te lopen vanaf het moment van ‘kennisname’, nl. van zodra iemand binnen de organisatie van de verwerkingsverantwoordelijke kennisneemt van het lek. Dat moment van ‘kennisname’ is niet altijd duidelijk. Hacking is bv. een klare zaak: van zodra je weet dat er gehackt is, kun je spreken over het moment van kennisname. Maar als een burger/klant je erop wijst dat er persoonsgegevens op straat liggen en je moet dit eerst verifiëren, dan is er nog geen sprake van kennisname (je hebt het lek nog niet waargenomen). Pas vanaf de constatatie dat er effectief persoonsgegevens zijn gelekt, gaat het moment in. Een dergelijk onderzoek om een datalek te bevestigen mag je niet uitstellen. Dit moet zo snel mogelijk gebeuren.

Gegevensbeschermingsautoriteit: meld het datalek binnen de 72u na het moment van kennisname. Voor wat betreft het aantal uur spreken we hier niet over werkdagen maar kalenderdagen.

Betrokkene: meld het datalek ‘onverwijld’, d.w.z. onmiddellijk of heel snel.

Verwerker: meld het datalek ‘zonder onredelijke vertraging’, d.w.z. zo snel mogelijk.

Niet gelukt om het lek binnen de vooropgestelde termijn te melden? Geen paniek, dit kan voorvallen, zeker wanneer een onderzoek naar de echtheid van het datalek uitloopt. Zorg ervoor dat je de vertraging van de melding kunt motiveren t.a.v. de Gegevensbeschermingsautoriteit.

Wat is de Gegevensbeschermingsautoriteit en hoe verschilt die organisatie van de Privacycommissie?

De Gegevensbeschermingsautoriteit (hierna GBA genoemd) werd door de wet van 3 december 2017 tot oprichting van de Gegevenbeschermingsautoriteit in het leven geroepen. Die wet trad in werking op 25 mei 2018, net als de Algemene Verordening Gegevensbescherming (ofwel GDPR), waardoor de GBA officieel de plaats innam van de Privacycommissie. Het doel van de GBA, zoals ook op de website https://www.gegevensbeschermingsautoriteit.be/ te lezen valt, is ervoor te zorgen dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat de privacy van betrokkenen ook in de toekomst gewaarborgd blijft.

Waar de Privacycommissie slechts een adviesbevoegdheid had, beschikt de GBA ook over een controlebevoegdheid, een bevoegdheid om geschillen te beslechten en sancties op te leggen. Die extra bevoegdheden spelen in op de bescherming van de persoonsgegevens: indien wordt vastgesteld dat deze niet worden gerespecteerd, dan is de GBA bevoegd om boetes op te leggen of zelfs rechtsvorderingen in te stellen.

Moet ik wakker liggen van de boetes die onder de AVG kunnen uitgeschreven worden?


Ja en nee. In theorie zijn volgende boetes mogelijk onder de AVG:

  • een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);

  • een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)

  • een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);

  • een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

In de praktijk zijn er in België al boetes uitgeschreven. Ook is er al gezegd dat boetes pas na waarschuwingen en in uitzonderlijke gevallen zullen worden gegeven. Als we echter kijken naar onze buurlanden, zien we dat er wel al effectief boetes zijn opgelegd: https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/. Beter voorkomen dan genezen is de boodschap. Zorg ervoor dat uw persoonsgegevensbescherming op punt staat tegen dat de boeteprocedure in België volledig is uitgewerkt.



Hoe kan ik me voorbereiden op het melden van een datalek?

Zorg voor een degelijke procedure voor de melding van datalekken. Je hebt immers maar 72 uur om het datalek te melden aan de Gegevensbeschermingsautoriteit (en minder tijd voor betrokkenen, want zij moeten ‘onverwijld’ op de hoogte worden gebracht!).

Enkele vragen om mee te nemen in dit proces:

  • Als je geen DPO hebt (of deze is op vakantie), wie is dan de verantwoordelijke voor de melding van het datalek?

  • Wie wordt intern en/of extern op de hoogte gebracht (en via welk escalatiepad) van het datalek?

  • Hebben we van onze leveranciers contactnummers ingeval van noodsituaties?

  • Welke risicoimpact is er mogelijk en hoe zal deze worden ingeschat?

  • Ben je vertrouwd met de melding van datalekken via de website van de Gegevensbeschermingsautoriteit? Lees er meer over op: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen

  • Zorg bij een datalek dat jij en je collega’s zoveel mogelijk documenteren. Je digitale sporen proberen uit te wissen heeft weinig zin. Werk liever productief mee aan het oplossen van het lek.

  • Indien de rechten en plichten van betrokkenen een ernstig risico lopen, denk er dan aan hen ‘onverwijld’ op de hoogte te brengen van het lek. Langs welk kanaal ga je je gebruikers/klanten contacteren? Wat met klanten waarvan je geen contactgegevens hebt? Of wanneer je website plat ligt? Ga je het lek dan bv. via een persbericht de wereld insturen?

Hoe voorkom ik toekomstige datalekken?


Houd al je datalekken intern bij in een datalekregister. Dit kan een digitaal bestand zijn, maar bv. ook online formulieren. De vorm is van ondergeschikt belang; wat wel belangrijk is, is dat je zoveel mogelijk informatie rond het datalek verzamelt in dit register.

Vermeld in dit register de volgende gegevens van het datalek: de datum van constatering, een beschrijving van de inbreuk, de (mogelijke) gevolgen, de getroffen maatregelen, of het datalek al dan niet gemeld is aan de Gegevensbeschermingsautoriteit en betrokkenen, en indien er sprake is van melding aan betrokkenen, wat de boodschap was die is uitgestuurd.

Het grote voordeel van zo’n register is dat je heel snel kunt refereren naar vorige datalekken en de manier waarop ze destijds zijn opgelost of aangepakt.

Indien je assistentie of advies rond dit thema zou willen, kan je altijd WDCOM360 contacteren. Als Europees geregistreerd en gecertifiëerd Data Protection Office hebben we ook ervaring met deze materie..spijtig genoeg. Het komt overal wel voor, en hoe groter je bedrijf, hoe groter het risico.

Maar let op mr KMO want ook bij U kan dit voorvallen. We zitten namelijk allemaal op internet ; hebben onze website ; doen aan nieuwsbrieven ; verzenden al eens electronisch marketing mails ; en last but not least, we hebben mensen die voor ons werken. Deze laatste zijn misschien niet op de hoogte zoals jij. Neem dan ook de moeite om hen te leren omgaan met deze zaken en investeer in een Awareness training waar Wdcom360 je ook kan bijstaan.

Kortweg : twijfels, vragen,advies nodig ?

Ga naar www.Wdcom360.be



(bron :Victor - Vlaamse Ict organisatie)

2 weergaven0 opmerkingen