Meldingsplicht bij inbreuken in verband met de persoonsgegevens

Analyse Elke verwerkingsverantwoordelijke van gegevens heeft een specifieke meldingsplicht wanneer er een inbreuk heeft plaatsgevonden bij de verwerking van persoonsgegevens. Wat houdt deze meldingsplicht in en aan wie moet er gemeld worden?

Deze meldingsplicht wordt voorzien door de verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna "algemene verordening gegevensbescherming").

Tenzij de Belgische wetgever de meldingsplicht vroeger activeert, zal deze in België in principe van kracht zijn vanaf de inwerkingtreding van de verordening gegevensbescherming, namelijk op 25 mei 2018.

Inbreuken die aanleiding kunnen geven tot de meldingsplicht, kunnen van uiteenlopende aard zijn. Hacking van buitenaf is het bekendste voorbeeld maar ook het verlies van een USB-stick of een laptop waarop persoonsgegevens opgeslagen zijn, kan hieronder vallen. 

In Nederland was deze meldingsplicht reeds ingevoerd op 1 januari 2016. Tot op heden werd in Nederland slechts een beperkt aantal meldingen genoteerd. Dit is hoogstwaarschijnlijk niet te wijten aan het feit dat de bedrijven in Nederland zelden worden geconfronteerd met een data lek, maar zal wellicht meer te wijten zijn aan het feit dat als er een lek is, dit wordt stilgehouden uit schrik voor imagoverlies en/of pecuniaire gevolgen. 

Nochtans zijn de kwalijke gevolgen groter als er niet gemeld wordt. 

Dit geldt niet alleen voor de gedupeerde betrokkene die niet weet dat zijn paswoord, e-mail of andere gegevens over het net gelekt zijn en dus geen maatregelen kan nemen om de schade te beperken of tegen te houden, maar ook voor het bedrijf dat zich mogelijk zal geconfronteerd zien met strengere sancties van de privacy commissie, net omwille van dat stilhouden.

1.  Wat is houdt de meldingsplicht in ?

Artikel 33 van de Algemene Verordening Gegevensbescherming bepaalt dat indien er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke deze inbreuk moet melden aan de toezichthoudende overheid (de privacy commissie), zonder onredelijke vertraging en indien mogelijk binnen de 72 uur nadat hij er kennis van genomen heeft.  

In het geval dat de melding niet binnen de 72 uur plaatsvindt, dan dient de reden voor de vertraging vermeld te worden. 

De inbreuk hoeft niet gemeld te worden indien het niet waarschijnlijk is dat er een risico bestaat voor de rechten en de vrijheden van de natuurlijke personen. De verantwoordelijkheid voor deze analyse ligt bij het verwerkende bedrijf zelf en dit is niet altijd makkelijk om te bepalen. Ongetwijfeld zal de privacy commissie hieromtrent nog extra duidelijkheid of richtlijnen verschaffen om te bedrijven ter hulp te komen.

De inbreuk hoeft niet gemeld te worden indien het niet waarschijnlijk is dat er een risico bestaat voor de rechten en de vrijheden van de natuurlijke personen

Als er moet gemeld worden, dan verplicht de Algemene Verordening Gegevensbescherming dat de volgende informatie wordt meegedeeld:

  • de aard van de inbreuk, waar mogelijk met vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokken en persoonsgegevens;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming (DPO) van de verantwoordelijke voor de verwerking of een ander contactpunt waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

De algemene verordening gegevensbescherming laat toe dat, indien het niet mogelijk is om alle informatie gelijktijdig te verstrekken, de informatie ook in stappen mag worden verstrekt, opnieuw zonder onredelijke vertraging.

Bovendien dient de verwerkingsverantwoordelijke alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuken, de gevolgen ervan en de genomen corrigerende maatregelen. Deze documentatie stelt de privacy commissie in staat om de naleving van de meldingsverplichting te controleren.

2.  Mededeling aan de betrokkene

Naast de meldingsplicht aan de privacy commissie, rust er op de verantwoordelijke voor de gegevensverwerking in bepaalde gevallen ook een verplichting om de inbreuk mee te delen aan de betrokken personen. Deze verplichting bestaat wanneer de inbreuk een hoog risico inhoudt voor de rechten en de vrijheden van deze personen.  Opnieuw is het uitkijken naar bijkomende richtlijnen die moeten helpen een eventueel hoog risico in te schatten.

De mededeling moet een omschrijving van de aard van de inbreuk bevatten in duidelijke en eenvoudige taal. Daarnaast moeten ook de contactgegevens van de functionaris voor gegevensbescherming (DPO) van de verantwoordelijke van de gegevensverwerking, of een ander contactpunt, de gevolgen van de inbreuk en de genomen maatregelen meegedeeld te worden. 

Deze mededeling is echter in een aantal gevallen niet vereist:

  • Wanneer de verwerkingsverantwoordelijke de passende technische en organisatorische beschermingsmaatregelen heeft genomen die ervoor zorgen dat de gegevens onbegrijpelijk zijn voor derden, bv. versleuteling (encryptie), is het niet nodig om de betrokkene van de inbreuk te informeren. 
  • Wanneer de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen.
  • En wanneer de mededeling onredelijke inspanningen zou vragen van het bedrijf. In de plaats daarvan kan er een openbare mededeling (bv. persbericht) worden opgesteld die de betrokkenen even doeltreffend inlicht.

3.  Sanctie

Indien deze bepalingen niet worden nageleefd, kan dit aanleiding geven tot aanzienlijke boetes. Deze boetes kunnen oplopen tot 10.000.000 euro of voor een onderneming tot 2% van de totale wereldwijde jaaromzet in het voorgaande jaar indien dit cijfer hoger is.  

De omvang van de boetes mag evenwel niet onmiddellijk afschrikken. Zoals herhaaldelijk mondeling toegelicht door de privacy commissie is het niet de bedoeling om onmiddellijk streng bestraffend op te treden, maar om eerst te sensibiliseren, voor te lichten, te verwittigen en te begeleiden.  

De privacy commissie zal eerst proberen te sensibiliseren, voor te lichten, te verwittigen en te begeleiden

Bij de beoordeling van de sanctie zijn uiteraard ook de aard, de ernst en de duur van de inbreuk van belang. Daarbij zal rekening gehouden worden met eventuele opzettelijkheid of nalatigheid, met de maatregelen die genomen zijn om de schade te beperken van de betrokkene, met eerdere relevante inbreuken en met de mate waarin met de privacy commissie wordt samengewerkt om de inbreuk te verhelpen ...

4.  Een intern privacy beleid is aangewezen

Om zo adequaat mogelijk te kunnen reageren in het geval van een data lek, is het aangewezen dat er proactief een beleid of draaiboek wordt opgesteld waarin de stappen worden beschreven die in dergelijke situaties moeten worden gevolgd. 

De privacy commissie moet in principe binnen de 72u moet geïnformeerd worden van de maatregelen die genomen zijn om de inbreuk te verhelpen. Een goede voorbereiding en een duidelijk privacy beleid kunnen helpen om gepast te antwoorden op een potentieel data lek.