In deze GDPR-blogserie zijn we toegekomen aan het vijfde blog. In de eerste blog schreef ik wat er met GDPR op je afkomt. In de blogs die daarop volgden, gaf ik uitleg over de verantwoordelijkheden die jij en de medewerkers van je kantoor hebben om zo vertrouwd mogelijk met persoonlijke gegevens van klanten om te gaan. Maar wat als ondanks alle voorzorgsmaatregelen toch een datalek optreedt? Daarover deze blog ‘Accountability in GDPR: het registreren van datalekken‘.
Even terug in de tijd: in het derde blog ‘Accountability in GDPR: register van verwerkingsactiviteiten‘ las je over de verplichtingen waar ondernemingen aan moeten voldoen volgens het accountability vereiste. Daaronder vallen onderstaande punten:
- het bijhouden van een register van verwerkingsactiviteiten;
- het uitvoeren van een data protection impact assessment (DPIA);
- het bijhouden van een register van datalekken die zijn opgetreden;
- het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt;
- wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een FG aan te stellen.
Het bijhouden van een register van datalekken die zijn opgetreden
In deze blog gaan we het hebben over de derde in de rij, namelijk het bijhouden van een register van datalekken en wat daarbij komt kijken. ‘Een eitje’, denk je wellicht, want datalekken zijn al sinds 2016 onderdeel van de Nederlandse wetgeving. Daarom des te belangrijker om de verschillen tussen Meldplicht datalekken zoals wij die in Nederland kennen en de meldplicht in de AVG op een rijtje te zetten.
Huidige wetgeving: Meldplicht datalekken
Wat is er ook alweer verplicht onder de wet Meldplicht datalekken? Als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is, moet het datalek aan de Autoriteit Persoonsgegevens gemeld worden. Factoren ter overweging hierbij zijn:
- hoeveelheid gelekte persoonsgegevens;
- aantal betrokkenen van wie persoonsgegeven zijn gelekt;
- aard van de gelekte persoonsgegevens. Het lekken van gevoelige gegevens zoals bijzondere persoonsgegevens zullen eerder moeten worden gemeld. Denk aan financiële of medische gegevens.
Er moet dan zo spoedig mogelijk melding gemaakt worden. Uiterlijk binnen 72 uur. Zijn er mogelijk ongunstige gevolgen voor de privacy van de betrokkene? Dan moet hij/zij ook op de hoogte gesteld worden. Maar wie moet eigenlijk melden?Dat is de verantwoordelijke, ofwel degene die het doel en middelen van de verwerking bepaalt.
Ben jij een leverancier van de opdrachtgever die voor jou het doel en de middelen bepaalt? Dan moet jij het datalek melden bij jouw opdrachtgever, zijnde de verantwoordelijke. De verantwoordelijke moet een overzicht bijhouden van de meldplichtige datalekken die zijn voorgevallen. Het is slim om dit te doen voor alle datalekken en niet alleen degene die meldplichtig zijn. Zo kun je altijd laten zien waarom je ervoor hebt gekozen om niet te melden (evidence & audit trail).
Aanvullende eisen van Algemene verordening gegevensbescherming (AVG)
Op het eerste gezicht lijkt er niet veel te veranderen onder de Algemene verordening gegevensbescherming (AVG). Toch worden er wat aanvullende eisen gesteld. Onderstaand op een rijtje:
- AVG spreekt niet van een ‘datalek’ maar van een ‘inbreuk in verband met persoonsgegevens’;
- De termijn om te melden blijft 72 uur, maar een nieuwe toevoeging is, dat als het de verantwoordelijke niet lukt om binnen 72 uur te melden, ze een verklaring moeten geven voor de vertraging.
- De woordkeuze met betrekking tot wanneer te melden is anders. Een datalek is niet meldplichtig als het onwaarschijnlijk is, dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze uitzondering lijkt veel ruimte te laten voor de verantwoordelijke voor argumentatie. De toelichting op de wet geeft aan, dat het moet gaan om een hoog risico op ernstige lichamelijke, (im)materiële schade, zoals discriminatie, identiteitsfraude, financieel verlies en reputatieschade. De factoren onder Wet bescherming persoonsgegevens (hoeveelheid, aantal en aard) lijken hierin geen beslissende rol te spelen.
- Wanneer er sprake is van een hoog risico, moeten betrokkenen ook geïnformeerd worden zodat zij voorzorgsmaatregelen kunnen treffen. Tenzij er bepaalde maatregelen zijn genomen door de verantwoordelijke, zoals:
- pseudonimisering; of
- achteraf maatregelen zijn genomen die het hoge risico wegnemen.
Daarnaast hoeft de verantwoordelijke betrokkene niet te contacteren als een mededeling onevenredige inspanning kost. Denk aan gedateerde gegevens waardoor een persoon niet meer te bereiken is. Dan moet er overgegaan worden tot een openbare mededeling.
- Alle ‘inbreuken in verband met de persoonsgegevens’ moeten vastgelegd worden. Dit gaat verder dan de huidige meldplicht, waar alleen meldplichtige datalekken vastgelegd hoeven te worden.
Vastlegging argumentatie
Kortom, er is niet veel veranderd, maar er zijn wel wat zaken waarmee je rekening moet houden. De belangrijkste zijn:
- Als verantwoordelijke zorg je ervoor dat je in verwerkersovereenkomsten met je verwerkers vastlegt dat zij tijdig datalekken die ze signaleren bij jou melden (binnen 24 uur), zodat jij kunt voldoen aan de termijn van 72 uur.
- Als verantwoordelijke houd je een register van alle ‘inbreuken in verband met persoonsgegevens’ bij zodat je altijd kunt aantonen waarom je wel of niet tot melding bent overgegaan. Zorg voor gedegen vastlegging van je argumentatie. Advies is om hetzelfde te doen als verwerker zijnde;
- Wanneer je moet melden aan betrokkene, maar deze niet te pakken kunt krijgen, doe je een openbare mededeling.
Heb je vragen over deze blog of over het onderwerp GDPR in het algemeen? Stel ze gerust in het reactieveld onder deze blog.
Mijn volgende blog gaat over hoe je kunt aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking.
Eerder verschenen blogs over GDPR:
Accountability in GDPR: van verwerker tot verantwoordelijke
Accountability in GDPR: register van verwerkingsactiviteiten
Accountability in GDPR: het uitvoeren van een DPIA
Geef een reactie