Reglementering
26 januari 2022

Richtlijnen verduidelijken wat te doen bij een datalek van persoonsgegevens

Het Europees Comité voor gegevensbescherming (European Data Protection Board – EDPB) heeft onlangs richtlijnen gepubliceerd ter illustratie van de verplichtingen die moeten worden nageleefd bij een lek van persoonsgegevens: diefstal of verlies van documenten, per vergissing verstuurde e-mail, enz. Wij analyseren verschillende praktijkgevallen uit deze richtlijnen.

Wat is “een inbreuk in verband met persoonsgegevens”?  

Volgens de Algemene Verordening Gegevensbescherming ("AVG") wordt een inbreuk in verband met persoonsgegevens gedefinieerd als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

In geval van een inbreuk moet de verwerkingsverantwoordelijke:

1)   In alle gevallen: de inbreuk, de feiten en de maatregelen die zijn genomen om de inbreuk te verhelpen, vastleggen in een intern register ;

2)   Eventueel: de inbreuk melden bij de gegevensbeschermingsautoriteit (GBA), binnen 72 uur na kennisneming van de inbreuk, indien er sprake is van "een risico voor de rechten en vrijheden van natuurlijke personen";

3)   Eventueel: de betrokkene onverwijld op de hoogte brengen van de inbreuk, indien er "een hoog risico voor de rechten en vrijheden van een natuurlijke persoon" bestaat. 

In de praktijk is het aan de verwerkingsverantwoordelijke om te beoordelen of hij de inbreuk aan de toezichthoudende autoriteit en/of aan de betrokkene moet melden. De verantwoordelijkheid ligt dus bij hem. Om deze taak te vergemakkelijken, heeft de EDPB richtlijnen opgesteld, met verschillende praktijkgevallen uit situaties die aan Europese toezichthoudende autoriteiten zijn voorgelegd.

Praktijkgevallen

-      Diefstal van de laptop van een werknemer

Tijdens een inbraak wordt de computer van een werknemer gestolen waar veel persoonsgegevens zijn op opgeslagen. De computer is beveiligd met een "sterk" wachtwoord. De gegevens zijn gecodeerd. Aangezien er een externe back-up beschikbaar was, kon de werkgever de inhoud van de computer op afstand wissen.

Gelet op de (passende) maatregelen die de werkgever heeft genomen, is de EDPB van oordeel dat de werkgever niet verplicht is de inbreuk aan de toezichthoudende autoriteit of aan de betrokkenen te melden.

-      Bewaren van vertrouwelijke gegevens na een ontslag

Een werknemer is ontslagen. Tijdens zijn opzegtermijn neemt hij een kopie (op een persoonlijke USB-stick) van de klantengegevens.

Gezien het risico voor de rechten en vrijheden van de betrokkenen is de EDPB van mening dat de werkgever verplicht is de inbreuk aan de toezichthoudende autoriteit te melden. Anderzijds is de werkgever niet verplicht de betrokkenen van de inbreuk op de hoogte te brengen, aangezien het niet om "gevoelige" gegevens gaat en de gegevens beperkt zijn.

Deze inbreuk had kunnen worden vermeden door enerzijds de toegang zoveel mogelijk te beperken en anderzijds het downloaden naar externe opslagmedia te verbieden.

-      Fout bij het versturen van een e-mail

Een werknemer stuurt een e-mail naar werkzoekenden. Per ongeluk is een bijlage bijgevoegd met de contactgegevens en het rijksregisternummer van alle werkzoekenden (60.000 personen).

Gezien de gevoeligheid van de gegevens, het aantal betrokken personen en de mogelijke gevolgen van het lek, is de EDPB van oordeel dat de werkgever verplicht is de inbreuk aan de toezichthoudende autoriteit én de betrokken personen te melden.

Deze inbreuk had kunnen worden vermeden door een passend beleid vast te stellen voor het gebruik van inboxen binnen het bedrijf.

Te onthouden?

Bij een inbreuk in verband met persoonsgegevens, is de verwerkingsverantwoordelijke ertoe gehouden snel te reageren en de risico’s te analyseren om te bepalen welke maatregelen genomen moeten worden (kennisgeving aan de toezichthoudende autoriteit en aan de betrokkenen). Deze analyse wordt geval per geval gemaakt, waarbij de richtlijnen van de EDPB een nuttige bron kunnen vormen.

Bron: EDPB, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, 14 december 2021 (versie 2.0 beschikbaar in Engels), website van de EDPB.

We use cookies to track usage and preferences Legal terms I Understand