Datalekken: neem uw voorzorgen

Nochtans verschijnen er regelmatig nieuwsberichten waarin melding wordt gemaakt van grote hoeveelheden persoonlijke gegevens die in verkeerde handen vallen. In veel ondernemingen wordt er nog te onvoorzichtig omgesprongen met de persoonlijke gegevens van onder andere (potentiële) werknemers, klanten en leveranciers. Ook over welke stappen men moet ondernemen wanneer zich vervolgens een datalek voordoet, is men niet altijd volledig op de hoogte.

Wat is een datalek?
Een datalek wordt in de GDPR gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Deze definitie zorgt voor een erg ruime invulling van het begrip ‘datalek’.  Ook wie bijvoorbeeld een mail verstuurt naar een ontvanger en daarbij zonder toestemming allerlei andere mailadressen in CC plaatst, creëert (onbedoeld) een datalek.

Een datalek kan onder andere het gevolg zijn van een cyberaanval of een gestolen laptop; maar ook een USB-stick die verloren gaat of een papieren klantenlijst die wordt kwijtgespeeld, kan aanleiding geven tot een datalek. In praktijk is er vaak geen sprake van kwaad opzet, maar ligt de onoplettendheid van een medewerker aan de basis van een datalek. Belangrijke nuancering: in de GDPR is er enkel sprake van een datalek wanneer persoonsgegevens betrokken zijn. Het verlies van bedrijfsgegevens die geen persoonsgegevens zijn, wordt met andere woorden niet gekwalificeerd als een datalek.

Welke regels moet u volgen?
Wanneer er zich in uw onderneming een datalek voordoet, zijn er een aantal GDPR-regels die u nauwgezet moet naleven. De belangrijkste verplichtingen kunnen worden samengevat in volgende drie acties:

1. Registratie van het datalek in het intern register
Iedere organisatie is verplicht tot het opstellen en bijhouden van een zogenaamd ‘datalekregister’. In dit register moeten alle datalekken worden vastgelegd die zich hebben voorgedaan binnen uw organisatie. De vorm waarin dit gebeurt is vrij, maar er moet minstens in worden opgenomen welke feiten zich hebben voorgedaan, wat de gevolgen zijn van het datalek en welke corrigerende maatregelen er werden genomen.

2. Notificatie van de DPA
Daarnaast bent u verplicht om binnen de 72 uur de Data Protection Authority (DPA) in kennis te stellen van ieder datalek. In België wordt de taak van DPA uitgeoefend door de Gegevensbeschermingsautoriteit (GBA). De enige uitzondering op deze meldplicht is wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit is steeds een beoordeling in concreto, waarbij bijvoorbeeld kan worden gekeken naar het aantal slachtoffers, de ernst van de gevolgen, kenmerken van de ontvanger(s) en het type van onderneming.

3. Communicatie met de betrokkenen
De derde verplichting is om ook rechtstreeks de slachtoffers van het datalek op de hoogte te brengen, wanneer zou blijken dat er een hoog risico bestaat voor de rechten en vrijheden van de betrokkenen. Dit dient te gebeuren aan de hand van een doeltreffende communicatievorm die aansluit bij de bewuste doelgroep, zoals bijvoorbeeld een e-mailbericht, een brief of via telefonisch contact.

Wat zijn de risico’s?
In de eerste plaats loopt de onderneming waar zich een datalek voordoet risico op aanzienlijke reputatieschade. Daarnaast kan de GBA – als toezichthouder – ook een onderzoek opstarten en eventueel sanctionerende maatregelen opleggen. De GBA kan de onderneming bestraffen omdat men onvoldoende maatregelen heeft genomen om een datalek te voorkomen, maar ook omdat men niet de juiste procedures heeft gevolgd nadat het datalek zich heeft voorgedaan. In principe kunnen sancties oplopen tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. In het algemeen houdt de GBA echter rekening met de context en kan het ook kiezen voor alternatieve sancties zoals een waarschuwing of een bevel tot het in overeenstemming brengen met de GDPR.

Neem uw voorzorgsmaatregelen!
Een datalek is hoe dan ook een erg vervelende situatie voor iedere onderneming. Een onderneming doet er dan ook goed aan passende maatregelen te treffen om datalekken zoveel als mogelijk te voorkomen. Dit kan bijvoorbeeld door sterke een IT-security, maar ook door werknemers voldoende opleidingen te geven omtrent GDPR. Daarnaast is het ook belangrijk om op voorhand na te denken wat er concreet moet gebeuren wanneer er in de onderneming zich een datalek voordoet. Het is immers van groot belang om snel te kunnen handelen. Dit kan u doen door vooraf een datalekprotocol op te stellen. In dit document wordt concreet samengevat welke situaties gekwalificeerd moeten worden als datalek, welke stappen doorlopen moeten worden en wie welke taken op zich neemt. Halsten heeft ruime ervaring in het opstellen van datalekprotocollen en kan u steeds bijstaan bij het opstellen ervan.

Heeft u nog vragen over de juridische gevolgen van een datalek of kan u hulp gebruiken bij het uitwerken van een datalekprotocol? Contacteer gerust Halsten BE.legal voor advies op maat.