10 januari 2019

Veelgestelde vragen en antwoorden over datalekken

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, HELPDESK AVG, HELPDESK JURIDISCH, VERTROUWEN

Wist je dat de leverancier in zijn rol als verwerker ‘inbreuken op de beveiliging’ moet melden bij de verwerkingsverantwoordelijke (de klant) en niet bij de Autoriteit Persoonsgegevens? En wist je dat niet alle datalekken bij de Autoriteit Persoonsgegevens hoeven te worden gemeld? De verwerkingsverantwoordelijke moet een register bijhouden van alle meldingen en beoordelen of er ook een externe melding gedaan moet worden aan de Autoriteit Persoonsgegevens of aan personen die bij het datalek betrokken zijn. Maar hoe weet je wat je wanneer en aan wie moet melden? En wat je daarvoor moet regelen? Nederland ICT heeft een paar handige tools in de Avg Toolkit. Zowel een voorbeeld datalekkenprotocol voor de verwerkingsverantwoordelijke als een voorbeeld datalekkenprotocol voor de verwerker. We hebben een aantal veelgestelde vragen over datalekken voor je op een rijtje gezet:

WAT IS EEN DATALEK?

De term ‘datalek’ staat niet in de privacywet (Avg). De Avg heeft het over een ‘inbreuk in verband met persoonsgegevens’. Volgens de definitie in de Avg wordt hiermee bedoeld:
“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Voor het gemak spreken we hierna van ‘datalek’. Er is dus sprake van een datalek als er onbedoeld persoonsgegevens zijn vernietigd, kwijtgeraakt, veranderd of verstrekt. Ook is sprake van een datalek als er ‘ongeoorloofde toegang is geweest tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’ (denk aan onbedoelde inzage door iemand die daartoe niet gemachtigd was). Daarbij maakt het dus niet uit of dit per ongeluk of expres is gebeurd.
Voorbeelden van datalekken zijn volgens de AP:

  • Het verlies van een USB-stick met niet-versleutelde persoonsgegevens.
  • Een cyberaanval waarbij persoonsgegevens zijn buitgemaakt.
  • Een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

AAN WIE MOET JE EEN DATALEK MELDEN?

Niet ieder datalek hoeft altijd gemeld te worden, soms is vastleggen ervan voldoende. Er zijn drie partijen aan wie een datalek gemeld kan moeten worden:

  • De klant (de opdrachtgever in zijn rol als verwerkingsverantwoordelijke).
  • De Autoriteit Persoonsgegevens (de AP).
  • De personen over wie gelekte gegevens informatie bevatten (de Betrokkene(n)).

Óf een datalek gemeld moet worden en zo ja aan wie van bovenstaande partijen, hangt af van de omstandigheden.

AAN WIE MOET JE EEN DATALEK MELDEN ALS VERWERKER?

Als leverancier hoef je in je rol als verwerker (doe de quickscan om te zien of je verwerker bent) nooit te melden aan de AP of aan Betrokkenen. Wél moet je melden aan de  verwerkingsverantwoordelijke (je klant) conform wat je daarover hebt afgesproken in je verwerkersovereenkomst. Heb je nog geen verwerkersovereenkomst? Lees er hier meer over en/of bestel of download onze voorbeeld verwerkersovereenkomst hier.

Het is belangrijk om niet alleen te denken aan het melden, maar ook aan het beperken van de schade (lek dichten) en het voorkomen van herhaling. Maak daarbij gebruik van een datalekkenprotocol, zoals het voorbeeld datalekkenprotocol voor verwerkers in de Avg Toolkit.

WANNEER MOET JE ALS VERWERKINGSVERANTWOORDELIJKE EEN DATALEK MELDEN AAN DE AUTORITEIT PERSOONSGEGEVENS?

Niet iedere inbreuk op de beveiliging van persoonsgegevens hoeft gemeld te worden bij de AP. Dat hoeft alleen als het datalek leidt tot een risico voor rechten en vrijheden van betrokkenen. Meer handvatten vind je in de Guidelines meldplicht datalekken (en dan met name hoofdstuk IV). Deze guidelines kunnen je helpen bepalen wanneer je als verwerkingsverantwoordelijke een datalek moet melden aan de AP.

WAT MOET JE REGELEN ALS VERWERKER?

Als verwerker is het belangrijk dat je in je verwerkersovereenkomsten afspraken maakt met je klanten over hoe je omgaat met een datalek. De Standaard verwerkersovereenkomst van Nederland ICT houdt hier uiteraard rekening mee.
Om te beginnen is voorkomen uiteraard beter dan genezen. Zorg dus dat de beveiliging op orde is. Ook daarover maak je afspraken in je verwerkersovereenkomst.
Dat neemt niet weg dat zelfs bij de beste beveiligingsmaatregelen een datalek altijd kan gebeuren. Daarom is het belangrijk dat je in staat bent een datalek te signaleren en weet wat je moet doen op het moment dat een datalek zich voordoet. Implementeer daarom in je organisatie een datalekprocedure. Je kunt daarvoor het voorbeeld voor verwerkers uit onze Avg Toolkit gebruiken.
Vergeet ook niet om te zorgen voor awareness binnen je organisatie, bijvoorbeeld door het houden van trainingen.

WAT MOET JE REGELEN ALS VERWERKINGSVERANTWOORDELIJKE?

Voor de verwerkingsverantwoordelijke geldt grotendeels hetzelfde als voor de verwerker: maak afspraken met verwerkers in een verwerkersovereenkomst, zorg voor goede beveiliging en zorg dat je weet wat je moet doen op het moment dat een lek zich voordoet (door het hebben geïmplementeerd van een datalekprocedure). Groot verschil met de verwerker is dat je als verwerkingsverantwoordelijke óók moet nadenken over het al dan niet melden bij de AP en/of betrokkenen.
Ook voor verwerkingsverantwoordelijken hebben we een voorbeeld datalekkenprocedure in onze Avg Toolkit opgenomen.

MOET JE EEN REGISTER BIJHOUDEN VAN ALLE DATALEKKEN?

Ja, als verwerkingsverantwoordelijke moet je een register bijhouden van alle datalekken (ook de inbreuken op de beveiliging die niet gemeld hoefden te worden). Als verwerker lever je aan je klant informatie aan over de datalekken die hebben plaatsgevonden. De verwerkingsverantwoordelijke houdt van deze meldingen (en de door hem zelf geconstateerde lekken) een register bij en beoordeelt per lek of het gemeld moet worden (en zo ja, aan wie).

WAT MOET ER IN DAT REGISTER WORDEN GENOTEERD?

Als verwerkingsverantwoordelijke moet van ieder datalek het volgende worden gedocumenteerd:

  • een korte omschrijving van het lek;
  • een omschrijving van de feiten rondom het lek:
    • Wanneer vond het plaats?
    • Wat is er precies gelekt? (zijn gegevens verloren gegaan, of zijn ze door een onbevoegde ingezien, gekopieerd of gewijzigd?);
    • Van welke groep(en) personen zijn er gegevens gelekt en om hoeveel personen gaat het (ongeveer)?;
    • Om wat voor soort gegevens gaat het?
  • De gevolgen van het lek (wat zijn de risico’s voor betrokken personen? Is er bijvoorbeeld een kans op identiteitsfraude? Wat zijn andere gevolgen?);
  • De maatregelen die genomen zijn naar aanleiding van het lek (wat is er gedaan om schade te beperken? En wat is er gedaan om herhaling te voorkomen?).

Dit register geeft de verwerkingsverantwoordelijke zelf inzicht in de incidenten die hebben plaatsgevonden, maar kan ook gebruikt worden door de Autoriteit Persoonsgegevens om toezicht te houden op de naleving van de regels omtrent datalekken (waaronder op de verplichting om datalekken te monitoren door het bijhouden van een register).

WAT KUNNEN DE JURISTEN VAN NEDERLAND ICT VOOR DE ICT-LEVERANCIER BETEKENEN?

De juristen van Nederland ICT hebben voor de leden van Nederland ICT een voorbeeld datalekkenprotocol opgesteld. Leden kunnen deze downloaden in MijnNederlandICT.
Meer informatie over de achtergrond van de Avg is te vinden in onze kennisbank. Meer informatie over de Data Pro-dienstverlening is te vinden via de Helpdesk Avg. Via deze helpdesk geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van de Avg. Overige juridische vragen, kunnen worden neergelegd bij de Helpdesk Juridisch.

Nederland ICT organiseert verschillende workshops en bijeenkomsten rondom de Avg waaraan leden van Nederland ICT kosteloos kunnen deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk hier de voordelen!

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg!