Verplichtingen bij het verwerken van persoonsgegevens

Gegevenslek melden

Met ingang van 25 mei 2018 geldt een meldplicht voor gegevenslekken. Deze meldplicht houdt in dat Vlaamse instanties binnen de 72 uur en zonder onredelijke vertraging een melding moeten doen bij de Vlaamse Toezichtcommissie zodra er een risico bestaat voor de fundamentele rechten en vrijheden van de betrokkenen (de mensen van wie de persoonsgegevens zijn). Soms moeten zij het gegevenslek ook meedelen aan de betrokkenen zelf.

Wat te doen bij een inbreuk

Stap 1
Inbreuk vastgesteld
De Algemene Verordening Gegevensbescherming (AVG) spreekt over een ‘inbreuk in verband met persoonsgegevens’. Het gaat om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).
Ook onbeschikbaarheid van gegegevens vormt een “datalek”.
WP 29 Richtlijnen voor melding inbreuk in verband met persoonsgegevens
Er zijn 3 categorieën inbreuken op de beveiliging (aard van een inbreuk):
Inbreuk op de vertrouwelijkheid
bijvoorbeeld: een onbevoegde of onopzettelijke verspreiding van, of toegang tot, persoonsgegevens.
Inbreuk op de integriteit
bijvoorbeeld: een onbevoegde of onopzettelijke wijziging of vervalsing van persoonsgegevens.
Inbreuk op de beschikbaarheid
bijvoorbeeld: een onbevoegd of onopzettelijk verlies of vernietiging van persoonsgegevens
Een inbreuk kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
Voorbeelden van inbreuken zijn:
het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Stap 2
Inbreuk melden
U hoeft een gegevenslek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.
De aanbeveling van de WP 29(opent in nieuw venster) (in het bijzonder hoofdstuk IV) hierover, kan u helpen te bepalen of u een gegevenslek moet melden.
Naast het geval dat de omstandigheden uitwijzen dat de inbreuk de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Vlaamse Toezichtcommissie niet hoeft in te lichten over het gegevenslek:
wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100) getroffen is EN geen gevoelige gegevens » bijzondere categorie van persoonsgegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.
Zelfs indien de verwerkingsverantwoordelijke de inbreuk niet meldt bij de VTC, is het aangewezen een logboek bij te houden met een korte beschrijving van elke inbreuk en een verklaring voor het niet-melden ervan.
In geval van twijfel doet de verantwoordelijke toch best een melding bij de VTC.
De VTC is als toezichthoudende autoriteit voor de verwerking van persoonsgegevens verantwoordelijk voor het toezicht op de toepassing van de algemene verordening gegevensbescherming door de Vlaamse instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.
Gegevenslekken in andere organisaties en melding van gegevenslekken in de telecomsector dienen gemeld te worden bij de Gegevensbeschermingsautoriteit(opent in nieuw venster).
U kunt de melding doen via het aanmeldingsformulier(Word bestand opent in nieuw venster) (versie 2.3 april 2024) in te vullen en door de leidend ambtenaar te laten mailen naar contact@toezichtcommissie.be(opent in uw e-mail applicatie) binnen 72 uur nadat de inbreuk werd vastgesteld.
Een inbreuk kan volledig gemeld worden of, in het geval het verder onderzoek vergt, in twee delen worden gemeld:
voormelding aan de VTC binnen de 72 uur;
volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.
Deze vragenlijst volstaat als melding van een inbreuk i.v.m. persoonsgegevens aan de VTC. Maar indien nodig blijkt, zal de VTC verdere vragen voorleggen.
Gebruik geen namen of andere identificatiegegevens (zoals bv. rijksregisternummer etc) om het incident te beschrijven.
Stap 3
Kennis geven aan betrokkenen
Niet elke inbreuk moet aan de betrokkenen worden ter kennis gegeven.
U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. De aanbeveling van de WP 29(opent in nieuw venster) (in het bijzonder hoofdstukken III en IV), kan u helpen te bepalen of u de betrokkenen over een inbreuk moet informeren.
De verantwoordelijke voor de gegevensverwerking meldt de inbreuk aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.
Opmerking: uit AVG(opent in nieuw venster) (artikel 34, lid 2, AVG): De kennisgeving aan de betrokken personen bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste volgende elementen:
naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt;
de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder in voorkomend geval de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Opmerking: De VTC beveelt aan om de kennisgeving in een duidelijke taal op te stellen en te maken dat die makkelijk te begrijpen is en om tenminste de hiernavolgende informatie verstrekken:
naam van de verantwoordelijke voor de gegevensverwerking
contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen bv. de DPO
samenvatting van het incident
vermoedelijke datum van het incident
aard van de betrokken persoonsgegevens
denkbare gevolgen van het gegevenslek voor de betrokken personen
de maatregelen die de verantwoordelijke heeft genomen om dit gegevenslek te verhelpen en de nadelige gevolgen te beperken
de maatregelen die de verantwoordelijke aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.

Maatregelen VTC

Op basis van artikel 58, 2 van de AVG kan de VTC volgende maatregelen opleggen:

waarschuwen (a)
berispen (b)*
gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten in te willigen (c)
gelasten de verwerking in overeenstemming te brengen met de AVG (d)
gelasten de inbreuk aan de betrokkenen mee te delen (e)
een tijdelijke verwerkingsbeperking opleggen (f)
een tijdelijk verbod opleggen (f)
een definitieve verwerkingsbeperking opleggen (f)
een definitief verwerkingsverbod opleggen (f)
gelasen de persoonsgegevens te rectificeren (g)
gelasten de persoonsgegevens te wissen (g)
gelasten de verwerking te beperken (g)

De VTC spreekt in principe van zodra er sprake is van een datalek een berisping uit omdat een lek betekent dat er iets misgelopen is en de VTC wil aansturen op verbetering van het omgaan met persoonsgegevens.

Er worden ook maatregelen opgelegd als het louter om een fout van de verwerker gaat aangezien de verwerkingsverantwoordelijke verantwoordelijk is voor wat de verwerker doet.

Gemelde gegevenslekken

Hier vindt u het overzicht van reeds gemelde gegevenslekken aan de Vlaamse Toezichtcommissie samen met de remediërende en preventieve maatregelen die de verwerkingsverantwoordelijken zelf namen.

Algemene richtlijnen

Algemene richtlijnen bij inbreuken in verband met persoonsgegevens of cybersecurity incidenten

Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens

Gegevenslek melden

Wat te doen bij een inbreuk

Inbreuk vastgesteld

Categorieën inbreuken

Inbreuk melden

Welke inbreuken moeten gemeld worden?

Wie moet een inbreuk melden bij de VTC?

Hoe moet een inbreuk gemeld worden bij de VTC?

Kennis geven aan betrokkenen

Wat moet de kennisgeving aan de betrokkenen inhouden?

Maatregelen VTC

Gemelde gegevenslekken

Algemene richtlijnen

Preventieve tips om uw organisatie weerbaar te maken

Wat moet ik doen wanneer ik een cybersecurity incident vaststel in mijn organisatie?

Ik heb op een verdachte link geklikt (tips van Safeonweb)