Melding van een gegevenslek: toelichting

Wat is een gegevenslek?

Er wordt gesproken over een gegevenslek in situaties waarin persoonsgegevens dreigen ongeoorloofd te worden openbaar gemaakt, verloren te gaan, vernietigd of gewijzigd te worden.

Wie moet een gegevenslek melden bij de Privacycommissie?

Strikt genomen is de melding van een gegevenslek buiten de telecomsector (vooralsnog) niet wettelijk verplicht, maar het is meer dan raadzaam. De melding moet gebeuren door de verantwoordelijke voor de gegevensverwerking.

Dankzij de melding kan de Privacycommissie de impact van het gegevenslek inschatten samen met de verantwoordelijke voor de verwerking van de gelekte gegevens, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

Binnen welke termijn moet de kennisgeving gebeuren?

De meldingstermijn bedraagt in principe maximaal 48 uur nadat het gegevenslek werd vastgesteld. Als de verantwoordelijke voor de gegevensverwerking in eerste instantie over weinig of geen informatie beschikt, kan hij de melding wel in twee fasen opdelen. Meer uitleg is te vinden in de handleiding bij het meldingsformulier.

Aan wie gebeurt de kennisgeving?

In alle gevallen wordt de kennisgeving gericht aan de Privacycommissie.

Bovendien moet in sommige gevallen een kennisgeving worden verricht aan de betrokken personen, dus de personen van wie de gegevens gelekt zijn.

Kennisgeving aan de Privacycommissie

Kennisgeving aan de Privacycommissie gebeurt via een beveiligd formulier, dat via de e-formsapplicatie verstuurd moet worden. Meer uitleg is terug te vinden in de e-formshandleiding.

Kennisgeving aan de betrokken personen

De verantwoordelijke voor de gegevensverwerking meldt het gegevenslek aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.

De kennisgeving aan de betrokken personen is in duidelijke taal opgesteld en is makkelijk te begrijpen. De Privacycommissie beveelt aan om tenminste de hiernavolgende informatie verstrekken:

  • naam van de verantwoordelijke voor de gegevensverwerking,
  • contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen,
  • samenvatting van het incident dat de persoonsgegevens heeft aangetast,
  • vermoedelijke datum van het incident,
  • aard en strekking van de betrokken persoonsgegevens,
  • denkbare gevolgen van het gegevenslek voor de betrokken personen,
  • omstandigheden waaronder het gegevenslek plaatsvond,
  • de maatregelen die de verantwoordelijke heeft genomen om dit gegevenslek te verhelpen,
  • de maatregelen die de verantwoordelijke aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.

In welke gevallen moet de verantwoordelijke voor de verwerking het gegevenslek niet melden aan de betrokken personen?

  • Wanneer, in uitzonderlijke gevallen, het risico bestaat dat de kennisgeving aan de betrokken personen de doeltreffendheid van het onderzoek naar het gegevenslek in de weg zou staan, mag de verantwoordelijke de kennisgeving uitstellen. In dat geval geeft de verantwoordelijke voor de verwerking op het kennisgevingsformulier aan dat zij een dergelijke toelating wenst en omschrijft zij de redenen;
  • Wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn.

Bij twijfel kunt u de Privacycommissie om raad vragen over het al dan niet melden van het gegevenslek aan de betrokken personen.

In welke gevallen moet de verantwoordelijke voor de verwerking het gegevenslek niet melden bij de Privacycommissie?

Naast het geval dat de omstandigheden uitwijzen dat het gegevenslek de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Privacycommissie niet hoeft in te lichten over het gegevenslek:

  • wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
  • wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100)  getroffen is EN geen gevoelige gegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.

In geval van twijfel doet de verantwoordelijke toch best een melding bij de Privacycommissie.

Zelfs indien de verantwoordelijke voor de gegevensverwerking het gegevenslek niet meldt bij de Privacycommissie, houdt hij best toch een logboek bij met een korte beschrijving van elk gegevenslek en een verklaring voor het niet-melden ervan.