Als u ondernemer bent en persoonsgegevens verzamelt en verwerkt, dan valt u wellicht onder de algemene gegevensbeschermingsverordening (GDPR). Deze regelgeving verplicht u om passende maatregelen te nemen om de verzamelde persoonsgegevens adequaat te beschermen. Toch valt niet uit te sluiten dat er iets fout loopt. U kunt het slachtoffer worden van een cyberaanval. Ook menselijke fouten (al dan niet opzettelijk) zijn vaak de oorzaak van een ongewenste verspreiding of verwijdering van gegevens. Welke verplichtingen rusten er op u in dergelijke situatie?

Omschrijving datalek

Onder GDPR wordt een datalek omschreven als volgt:

“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”

Enkele voorbeelden:

• U verliest op straat een USB stick waarop persoonsgegevens zijn opgeslagen
• Bij een cyberaanval wordt een databank gehackt
• U laat een laptop achter op de trein
• Een werknemer verstuurt een e-mail met gevoelige informatie naar een verkeerd persoon
• Een werknemer vernietigt of wijzigt met opzet persoonsgegevens in uw databank

Melding aan de gegevensbeschermingsautoriteit

Tenzij het datalek geen risico inhoudt voor de rechten van betrokkenen, dient u de inbreuk binnen de 72 uur na kennisname ervan te melden aan de Gegegevensbeschermingsautoriteit. Indien u dit niet binnen de 72 uur doet, moet u zich bovendien verantwoorden voor de vertraging.

De melding dient o.a. volgende informatie te bevatten:

• De aard van de inbreuk
• het aantal betrokkenen
• De waarschijnlijke gevolgen van de inbreuk
• De maatregelen die u heeft genomen of zult nemen om de gevolgen te beperken

Melding aan de betrokkenen?

Als het datalek ook een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet u de inbreuk onmiddellijk melden aan de betrokkene(n) zelf.

Hierop gelden enkele uitzonderingen. Een melding aan de betrokkenen is bijvoorbeeld niet vereist als de betreffende gegevens versleuteld zijn en hierdoor onleesbaar zijn voor onbevoegden. De melding kan bovendien vervangen worden door een openbare mededeling of een soortgelijke maatregel (waarbij betrokkenen even doeltreffend worden geïnformeerd), als een persoonlijke mededeling aan de betrokkenen onevenredige inspanningen zou vergen (bijvoorbeeld wegens het grote aantal betrokkenen).

Inventariseren inbreuken

U dient alle inbreuken in verband met persoonsgegevens te documenteren (de feiten, de gevolgen, de genomen maatregelen, etc.). Dit is een instrument voor de toezichthoudende autoriteit om de naleving van de wetgeving te controleren.

U kunt aldus maar beter goed voorbereid zijn. Dit betekent in eerste instantie dat u alle (passende) maatregelen moet nemen om een datalek te voorkomen. Als u ondanks de nodige voorzorgen toch met een datalek wordt geconfronteerd, zorg er dan voor dat u een plan van aanpak klaar hebt liggen. De termijn voor uw meldingsplicht is immers beperkt.

Hulp nodig?

PC Advocaten kan u hierin bijstaan, zowel preventief (advisering) als bij het vervullen van uw verplichtingen na datalek. Neem gerust vrijblijvend contact op met Mr. Maxime Korber, onze in-house ‘Certified DPO’ of ‘functionaris gegevensbescherming’.