Neemt u liever telefonisch contact op?

Bekijk het overzicht van onze Wanted kantoren op onze contactpagina.

25/05/2018

Hoe maak ik mijn onderneming GDPR-approved in 5 stappen? Stap 5...

Naar aanleiding van de inwerkingtreding van de nieuwe Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation of hierna ook wel “GDPR” genoemd) op 25 mei 2018 beloofden wij u stap voor stap te helpen bij het GDPR-approved maken van uw organisatie.

In onze eerste blog van 12 april 2018 hadden wij het reeds uitgebreid over de eerste stap, namelijk de bewustwording binnen uw organisatie.

In onze tweede blog van 19 april 2018 hadden wij het navolgend over het schematiseren van de verzamelde gegevens en het vervolgens overlopen van een checklist na te gaan in hoeverre uw organisatie op vandaag al GDPR-conform is en waar eventueel nog aangepast moet worden om uw onderneming volledig GDPR-approved te maken.

In onze derde blog van 26 april 2018 hadden wij het dan weer over de aanvullende verplichtingen die bestaan in het kader van de GDPR én voor welke organisaties deze aanvullende verplichtingen in theorie gelden.

In onze vierde blog van 22 mei jl. gingen we vervolgens wat dieper in op één van de belangrijkste verplichtingen, namelijk de opmaak van een privacy verklaring.

Vandaag gaan we het tot slot hebben over de allerlaatste stap, namelijk het uitwerken van een datalekbeleid, ter bescherming van de voor verwerking bestemde gegevens.

Algemeen

De GDPR verplicht organisaties om een beleid uit te werken ter bescherming van de gegevens die zij verwerken.

Dit beleid moet in eerste instantie bestaan uit de diverse maatregelen die u als organisatie neemt om de gegevens te beveiligen. Denk maar aan het aanschaffen van een papierversnipperaar, het inschakelen van een papiervernietigingsdienst edm. voor het wegwerken van persoonsgegevens op een papieren drager of aan diverse IT-maatregelen voor het beveiligen van uw digitaal bewaarde persoonsgegevens (bijvoorbeeld: encryptie of versleuteling van persoonsgegevens).

Daarnaast dient dit beleid ook te voorzien in een “rampenplan”, oftewel in een te volgen stappenplan voor het geval zich een inbreuk zou voordoen op de persoonsgegevens (lees: datalek).

Artikel 4, 12 van de GDPR definieert een datalek als volgt:

 “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Met andere woorden is er al sprake van een datalek wanneer men per ongeluk een mail verstuurt naar de verkeerde persoon. Er hoeft dus niet noodzakelijk sprake te zijn van kwaad opzet. Ook het verlies van de (werk)laptop of (werk)gsm kan een datalek uitmaken wanneer één en ander onvoldoende beveiligd is.

Eerste stap : voorafgaandelijk beveiligen van de gegevens

Vooreerst moeten de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen nemen om de door hen verwerkte gegevens te beveiligen. Daarbij moeten zij rekening houden met oa. de kostprijs, de aard, de omvang, de context, de verwerkingsdoeleinden en de waarschijnlijkheid dat er zich een datalek zou voordoen.

De GDPR somt daarbij de volgende vereisten op:

  • de pseudonimisering en versleuteling van persoonsgegevens (lees: het onleesbaar maken van digitale data op basis van bepaalde wiskundige algoritmes)
  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (bijvoorbeeld: regelmatig een back-up nemen van de gegevens)
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 GDPR of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 GDPR kan eveneens worden gebruikt om aan te tonen dat de hiervoor bedoelde vereisten worden nageleefd.

Tweede Stap: dubbele meldplicht bij datalekken

Niet alleen moet uw organisatie voorzien zijn van diverse beveiligingsmaatregelen. Uw organisatie moet tevens beschikken over een concreet uitgewerkt datalekbeleid. Elke verwerker en verwerkingsverantwoordelijke die intern of extern verbonden is aan uw organisatie (extern via bijvoorbeeld verwerkersovereenkomsten) moet perfect weten wanneer sprake is van een datalek, wat zij in dat geval precies moeten doen en wanneer zo’n datalek gemeld moet worden aan de toezichthoudende autoriteit en/of de betrokkene in kwestie.

Artikel 33 GDPR stelt dat indien de verwerker kennis krijgt van een mogelijk datalek, dat hij of zij dit zo snel als mogelijk en “zonder onredelijke vertraging” ter kennis moet brengen van de verwerkingsverantwoordelijke en/of -indien van toepassing- de DPO (data protection officer).

Om een bepaalde zekerheid in te bouwen en om de risico’s zoveel als mogelijk te beperken bouwt men waar mogelijk misschien best wel contractueel een termijn in waarbinnen de kennisgeving aan de verwerkingsverantwoordelijke moet gebeuren, bijvoorbeeld “binnen de 24 uur”. Zeker in verwerkersovereenkomsten wordt dit aangeraden.

De verwerkingsverantwoordelijke beschikt na kennisname over een termijn van 72 uur om het datalek te melden aan de bevoegde toezichthoudende autoriteit. Indien de verwerkingsverantwoordelijke niet tijdig tot melding overgaat, dan zal de verwerkingsverantwoordelijke verplicht zijn om de vertraging te motiveren. Dat men nog niet over alle informatie beschikt om aangifte te doen, kan echter niet als excuus gelden nu het perfect mogelijk is om nà de eerste aangifte nog bijkomende informatie te bezorgen.

Er geldt wel een uitzondering op de meldplicht voor het geval het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In dat geval hoeft de verwerkingsverantwoordelijke het datalek niet officieel te melden bij de toezichthoudende autoriteit en/of de betrokkene zelf.

Om vervolgens concreet na te gaan of aangifte überhaupt verplicht is, en zo ja, in welke gevallen de betrokkene en/of toezichthoudende autoriteit op de hoogte gebracht moeten worden, moet de verwerkingsverantwoordelijke zichzelf drie vragen stellen:

  1. Is er sprake van een datalek? Het kan bijvoorbeeld zijn dat een mailtje werd verstuurd naar een verkeerd e-mailadres maar dat dit verkeerde e-mail adres achteraf gezien niet eens bestaat. In dat geval had er sprake kunnen zijn van een lek, maar is het nooit zo ver gekomen. Dergelijke zaken kunnen omschreven worden als “incidenten”. Men houdt dit best intern bij in een soort van “incidentenregister” maar men hoeft deze zaken niet noodzakelijk te melden aan de betrokkene of aan de bevoegde toezichthoudende autoriteit.
  2. Impliceert het datalek een risico voor de rechten en vrijheden van de betrokkene? Het kan bijvoorbeeld zijn dat een computer gestolen wordt, maar dat alle persoonsgegevens die op die computer staan volledig versleuteld zijn waardoor de gegevens niet bruikbaar zullen zijn voor de dief. In dat geval is aangifte niet zozeer noodzakelijk. Indien de persoonsgegevens daarentegen wel leesbaar zijn, dan zal één en ander aangegeven moeten worden bij detoezichthoudende autoriteit.
  3. Is er sprake van een acuut reëel risico op schade voor de betrokkene? Indien er bijvoorbeeld sprake is van een datalek met bankkaartgegevens, dan is de kans op onmiddellijke financiële schade voor de betrokkene zeer groot. In dat geval zal niet alleen aangifte bij de toezichthoudende autoriteit vereist zijn, maar zal tevens de betrokkene in kwestie op de hoogtegebracht moeten worden, zodat deze persoon eventueel zelf ook nog bepaalde maatregelen kan treffen.

Als de verwerkingsverantwoordelijke bevestigend moet antwoorden op 2e en de 3e vraag, dan moet het datalek aangegeven worden bij de toezichthoudende autoriteit. In voorkomend geval dient de verwerkingsverantwoordelijke minstens de volgende informatie te voegen aan zijn aangifte:

  • de aard van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen (indien mogelijk ook bij benadering hoeveel betrokkenen) en de categorieën van gegevens in kwestie.
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpersoon die men kan contacteren. Indien een DPO is aangesteld, zal men diens gegevens moeten doorgeven.
  • de waarschijnlijke gevolgen van het datalek.
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Opgelet! Als de verwerkingsverantwoordelijke bevestigend moet antwoorden op de 3e vraag, dan moet niet alleen de toezichthoudende autoriteit ingelicht worden, maar moet ook de betrokkene zelf op de hoogte worden gebracht.

In bepaalde gevallen zal de melding aan de betrokkene echter niet vereist zijn, namelijk indien:

  • de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen  genomen heeft zoals bijvoorbeeld versleuteling. (Bijvoorbeeld: Minder goed beschermde computer wordt gehacked maar persoonsgegevens zijn allemaal onleesbaar gemaakt.)
  • de verwerkingsverantwoordelijke  achteraf maatregelen genomen heeft om ervoor te zorgen dat het zich waarschijnlijk niet meer zal voordoen. (Bijvoorbeeld: u heeft geïnvesteerd in degelijke IT-maatregelen tegen hacking).
  • de mededeling  onevenredige inspanningen zou vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. (Bijvoorbeeld: de melding van een gebeurlijk datalek bij een financiële instelling zal waarschijnlijk op deze manier gebeuren).

In elk geval dient benadrukt dat het niet-melden van een datalek een strafbaar feit uitmaakt, waarvoor de verwerkingsverantwoordelijke aansprakelijk gesteld kan worden en hoge boetes kan riskeren. Het spreekt dan ook voor zich dat u zich als organisatie dan ook maar beter goed voorbereidt. Al was het maar omdat de informatie rond datalekken publieke informatie uitmaakt die uw organisatie dus wel eens de nodige imagoschade zou kunnen aanbrengen.

Derde stap : documentatieplicht

Artikel 33 van de GDPR voorziet tot slot dat de verwerkingsverantwoordelijke alle inbreuken in verband met persoonsgegevens moet documenteren, met inbegrip van de feiten, de gevolgen en de genomen corrigerende maatregelen.

Het nut van deze documentatieplicht is tweevoudig:

  • Enerzijds biedt dit de mogelijkheid voor u als organisatie om één en ander op te volgen en te optimaliseren waar mogelijk.
  • Anderzijds biedt dit de mogelijkheid voor de toezichthoudende autoriteit om één en ander te controleren.

Als u uiteindelijk net als wij ook deze laatste stap succesvol heeft afgerond, proficiat! Dan mag u nu uw onderneming als “GDPR-approved” beschouwen en dan kunt u met een gerust hart de eerste controles afwachten…

Mocht u vragen hebben bij het concreter uitwerken van uw inmiddels “in 5 stappen bekomen GDPR beleid” of bij één van de voorgaande stappen, aarzel dan niet om ons te contacteren. Wij staan u graag bij met raad en daad. Ook als u nog andere vragen hebt rond de GDPR-wetgeving, aarzel dan zeker niet om ons te contacteren.

Nieuwsbrief

Blijf op de hoogte van alle nieuwste Wanted Facts, schrijf u dan in op onze nieuwsbrief.

Schrijf u in

Disclaimer

De informatie over juridische onderwerpen die u in deze bijdrage aantreft, zijn louter informatieve, algemene besprekingen en kunnen in geen geval als juridisch advies worden beschouwd. Wanted Law aanvaardt geen aansprakelijkheid voor enige schade die iemand zou lijden door voort te gaan op deze informatie. Als u juridisch advies wenst, dient u contact op te nemen met een gekwalificeerde advocaat die u zal adviseren op basis van uw persoonlijke situatie. Alle blogberichten gepubliceerd op de website van Wanted Law zijn geschreven met toepassing van het Belgisch Recht.

Copyright

Wanted Law bezit het exclusieve copyright van deze website, zijn design en de volledige inhoud ervan. Gebruik van deze website, of delen ervan, in welke vorm dan ook, is verboden zonder de voorafgaande schriftelijke toestemming van Wanted Law.

Deel dit bericht

Handboek Verbintenissenrecht ed. 2023 - Vansweevelt T., Weyts B.

Koop in de Wanted Shop!

Algemeen contractenrecht - Claeys I., Tanghe T.

Koop in de Wanted Shop!

Leerboek Verbintenissenrecht deel II - Stijns S.

Koop in de Wanted Shop!