De AVG bevat voor organisaties een meldplicht datalekken. De Artikel 29 Werkgroep heeft een conceptrichtlijn gepubliceerd die moet helpen bij het invullen van deze meldplicht door in te gaan op o.a. de volgende onderwerpen: wanneer gaat de 72-uurs termijn lopen, welke informatie moet ik doorgeven aan de Toezichthouder, welk middel kan ik inzetten om betrokkenen te informeren en waar moet ik op letten als ik een risicobeoordeling uitvoer? Enkele highlights uit de conceptrichtlijn passeren in deze blog de revue.

Op 1 januari 2016 is de Meldplicht Datalekken van kracht geworden. Ook de Algemene Verordening Gegevensbescherming (AVG) bevat een meldplicht voor datalekken (art. 33 en 34 AVG). Afgelopen oktober heeft de Artikel 29 Werkgroep (WP29) conceptrichtlijnen gepubliceerd over deze datalekmeldplichten. De WP29 is een collectief mede bestaande uit vertegenwoordigers van Toezichthouders Gegevensbescherming uit EU-lidstaten (zoals de Autoriteit Persoonsgegevens). Eén van haar taken is om de uniforme implementatie van de AVG te bevorderen. Dit doet ze door bijvoorbeeld richtlijnen te publiceren met uitleg over de interpretatie van wetsartikelen, zoals ook in deze conceptrichtlijn.

De datalekmeldplichten: hoe zit het ook al weer?

De verwerkingsverantwoordelijke moet, afhankelijk van omstandigheden, de Toezichthouder(s) en betrokkenen informeren over een datalek. Om op tijd de meldingen te kunnen verrichten is ook de verwerker verplicht de verwerkingsverantwoordelijke hierover te informeren.

Highlights

De AVG-tekst met de meldplichten bevat zinsdelen die tot vragen kunnen leiden zoals: “uiterlijk 72 uur nadat hij er kennis van heeft genomen” (wanneer is hier sprake van?). Met de conceptrichtlijn probeert de WP29 onduidelijkheden over de datalekmeldplichten en bijkomstige verplichtingen uit de wereld te helpen. Hieronder bespreken we enkele highlights uit de conceptrichtlijn:

  • Documentatieplicht
    Datalekken moeten worden gedocumenteerd in een intern register, ongeacht of je ze moet melden. Het incident, de gevolgen en opvolging ervan moeten in het register worden vastgelegd. En in lijn met het accountability principe (aantoonbaar compliant) raadt de WP29 hiernaast aan dat ook motivaties achter beslissingen worden vastgelegd in het register, zoals voor het niet doen van een melding.
  • Risicobeoordeling voorafgaand aan een melding
    Een melding aan een Toezichthouder wordt getriggerd door risico’s voor de rechten en vrijheden van betrokkenen. Een melding aan betrokkenen is juist verplicht bij een waarschijnlijk hoog risico voor de rechten en vrijheden van betrokkenen. De AVG biedt geen richtlijnen om de verschillende risiconiveaus vast te stellen. Als hulpmiddel schrijft de WP29 factoren voor die meewegen bij de risicobeoordeling zoals: de aard van het incident, de aard en gevoeligheid van de persoonsgegevens, de hoeveelheid getroffen persoonsgegevens, het gemak waarmee individuen identificeerbaar zijn, de (potentiële) impact op betrokkenen, specifieke karakteristieken van betrokkenen en de verwerkingsverantwoordelijke, het aantal getroffen individuen en andere bijzonderheden die het risico omhoog kunnen trekken.
  • Het moment van melden aan de Toezichthouder
    De bevoegde Toezichthouder moet geïnformeerd worden over een datalek uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. Volgens de WP29 heeft de verwerkingsverantwoordelijke nog geen kennisgenomen van het datalek wanneer deze op de hoogte wordt gesteld over een potentieel datalek: de verantwoordelijke moet onderzoeken of er sprake is van een datalek en de 72 uur gaan pas tikken zodra de verantwoordelijke met redelijke zekerheid gelooft dat er een datalek heeft plaatsgevonden waarbij er persoonsgegevens zijn aangetast. De WP29 benadrukt dat dit onderzoek zo snel mogelijk moet plaatsvinden. Afhankelijk van de aard van het incident kan mogelijk niet ieder detail van het datalek worden achterhaald. Na het doen van de eerste melding kan het onderzoek worden voortgezet om alsnog de vereiste informatie te achterhalen. Dit mag echter niet de regel zijn.
  • Verwerkersafspraken
    De WP29 neemt het standpunt in dat zodra een verwerker kennis heeft genomen van een datalek, de verantwoordelijke dan in principe ook heeft kennisgenomen van het datalek (lees: de 72-uurstermijn voor de verantwoordelijke begint dus te lopen zodra de verwerker heeft kennisgenomen van het datalek). Hierdoor is het van belang dat de verwerker contractueel verplicht is om de verantwoordelijke onmiddellijk, en niet “zonder redelijke vertraging” zoals er in de AVG staat, te informeren over het datalek zodat laatstgenoemde de melding op tijd kan doen. Verantwoordelijken moeten controleren of de verwerkersovereenkomst de verwerker(s) hiertoe verplicht en anders ervoor zorgen dat dit alsnog in de verwerkersovereenkomst wordt geregeld.
  • Cumulatieve boetes
    Het niet doen van een melding kan een boete opleveren tot 2% van de wereldwijde omzet. De WP29 stelt dat het niet doen van een melding kan wijzen op een niet bestaand, falend of inadequaat beveiligingsbeleid (bijv. door het niet hebben van maatregelen om datalekken te herkennen of om tijdig meldingen te doen, zie art. 32 AVG). Dit zijn twee aparte punten van non-compliance en het niet compliant zijn met art. 32 AVG kan dus tot een extra boete leiden (ook tot 2% van de wereldwijde omzet) bovenop de boete voor het niet doen van een melding.

Slot

In deze blog zijn enkele onderwerpen aan bod gekomen uit de WP29 conceptrichtlijn over de AVG-datalekmeldplichten. Hierin benadrukt de WP29 het belang van het hebben van maatregelen en procedures om überhaupt datalekken te kunnen herkennen, detecteren en om er passend op te reageren. Let er op dat WP29 richtlijnen in principe worden gehandhaafd door nationale Toezichthouders binnen de EU, waaronder ook door de Autoriteit Persoonsgegevens. Het is dus verstandig om alvast rekening te houden met deze conceptrichtlijn.

Door: Wendy Tran


Terug naar het overzicht