Datalek: melden of niet melden?

Author info

Eerder schreven wij op onze blog al over de nieuwe meldplicht van datalekken in het kader van de Algemene Verordening Gegevensbescherming (GDPR). Deze meldplicht houdt in dat ondernemingen, in bepaalde gevallen, een datalek verplicht dienen te melden aan de toezichthoudende autoriteit (in België de Gegevensbeschermingsautoriteit) en soms ook aan de betrokken individuen zelf (zoals werknemers of klanten).

Binnen 72 uur

Deze melding dient te gebeuren (indien verplicht) binnen een strikte termijn van 72 uur nadat de onderneming kennis nam van het datalek. Deze termijn omvat ook het weekend of vakantieperiodes. Vanaf het moment dat een werknemer het datalek heeft ontdekt, wordt de onderneming geacht kennis genomen te hebben van het datalek.

Stappenplan

Gezien de strikte termijn is het belangrijk om als onderneming voorbereid te zijn om snel actie te kunnen ondernemen van zodra er een datalek wordt ontdekt binnen de onderneming. Voorzie daarom een duidelijk stappenplan dat is gecommuniceerd aan alle werknemers. Er is immers een beperkte termijn om de beslissing te nemen om het datalek al dan niet aan de Gegevensbeschermingsautoriteit (of een andere bevoegde toezichthoudende autoriteit) te melden.

Gelaagde melding

Wel is het zo dat er een zogenaamde gelaagde melding van het datalek mogelijk is. Dat betekent dat de toezichthoudende autoriteit alvast binnen de 72 uur op de hoogte wordt gesteld van het datalek, maar dat het interne onderzoek binnen de onderneming nog lopende is, bijvoorbeeld naar de omvang van de impact van het datalek op klanten.

Datalek: melden of niet melden?

Het al dan niet melden van een datalek is een beslissing die door de onderneming zelf moet worden genomen. Indien een datalek niet wordt gemeld omdat er geen risico op schade is voor de betrokken individuen (bijvoorbeeld omdat de persoonsgegevens versleuteld waren), dan kan deze beslissing best worden gedocumenteerd en onderbouwd in het kader van de verantwoordingsplicht. Indien een datalek niet wordt gemeld terwijl dat wel verplicht was, dan kan de Gegevensbeschermingsautoriteit daar sinds de GDPR tegen optreden.

Het is niet noodzakelijk dat er wordt ingebroken op de computersystemen om te spreken van een datalek. Enkele vaak voorkomende datalekken kunnen bijvoorbeeld het verlies van een onbeveiligde laptop zijn of het versturen van een e-mail met gegevens over een werknemer aan een verkeerde ontvanger.

Het is dus niet zo dat een datalek enkel zou moeten worden gemeld als er persoonsgegevens door een hacker worden gestolen, want aan datalekken liggen vaak ook menselijke fouten aan de basis. Daarom is het belangrijk om werknemers die (veel) in aanraking komen met persoonsgegevens (bijvoorbeeld Human Resources) duidelijk te informeren over het belang van het intern melden van datalekken.

Forse toename meldingen datalekken

Zoals reeds vermeld is een melding van een datalek slechts in bepaalde gevallen sinds 25 mei 2018 verplicht. Deze verplichting gold echter al vóór de toepassing van de GDPR in de telecomsector, maar was vrijblijvend in andere sectoren.

Ook na de GDPR kan een datalek vrijblijvend worden gemeld indien daartoe geen verplichting is. Dit is wellicht een van de redenen dat de Belgische toezichthoudende autoriteit, net zoals andere Europese toezichthoudende autoriteiten, een forse toename registreert in het aantal gemelde datalekken vergeleken met de meldingen vóór 25 mei 2018. Sindsdien zouden er bij de Gegevensbeschermingsautoriteit gemiddeld twee à drie datalekken per dag gemeld worden. Het is een kwestie van het vinden van het juiste evenwicht tussen het melden en niet melden van datalekken.