Het European Data Protection Board (EDPB) heeft onlangs nieuwe richtlijnen uitgebracht voor datalekmeldingen. Deze richtlijnen kunnen decentrale overheden helpen bij het nemen van passende maatregelen na vaststelling van een datalek.
Meldplicht bij datalekken
De Algemene Verordening Gegevensbescherming (AVG) bevat regels omtrent datalekken bij verwerkingen van persoonsgegevens. Er is sprake van een datalek indien er een inbreuk op persoonsgegevens heeft plaatsgevonden. Zo’n inbreuk kan ontstaan door gijzelsoftware of een inbraak in een databestand, maar ook een verloren usb-stick of gestolen laptop wordt beschouwd als datalek. In principe moeten deze datalekken, op grond van de AVG, gemeld worden bij de Autoriteit Persoonsgegevens. Deze melding moet zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat er kennis van is genomen zijn gemeld. Alleen als het onwaarschijnlijk is dat het datalek een risico meebrengt voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer van de betrokkene hoeft het lek niet gemeld te worden. Daarnaast bepaalt de AVG dat een datalek gemeld moet worden aan de betrokkene indien het datalek een hoog risico oplevert voor de rechten en vrijheden van de betrokkene. Bovendien moeten alle inbreuken in verband met persoonsgegevens geregistreerd worden in een overzicht. Ook wanneer de inbreuk geen risico’s met zich meebrengt. Voor meer informatie over datalekken heeft het kenniscentrum eerder deze praktijkvraag gepubliceerd.
De richtlijnen
Omdat het niet altijd even makkelijk is om het risico van een datalek in te schatten, heeft het EDPB richtlijnen opgesteld die kunnen helpen bij het maken van deze inschatting. In de richtlijnen staat een lijst met veel voorkomende soorten datalekken, zoals ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per type datalek wordt aan de hand van voorbeeldsituaties aangegeven hoe een inschatting van het risico gemaakt kan worden en wie op de hoogte gesteld moet worden. Ook worden de verplichtingen die van toepassing zijn op dat type datalek uitgelegd. De richtlijnen vormen een aanvulling op de eerder aangenomen algemene richtlijnen over datalekken.
Consultatie
De richtlijnen voor datalekmeldingen zijn nog niet definitief. Op de website van het EDPB kan er nog tot 2 maart 2021 feedback worden gegeven op de voorlopige versie van de richtlijnen. Na de consultatie zal het EDPB de definitieve richtlijnen vaststellen.
Bron:
Guidelines 01/2021 on Examples regarding Data Breach Notification, European Data Protection Board
Meer informatie:
Informatiemaatschappij, Kenniscentrum Europa Decentraal
Privacy: de Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Kenniscentrum Europa Decentraal
Meldplicht datalekken, Autoriteit Persoonsgegevens
Factsheet meldplicht datalekken, Informatiebeveiligingsdienst VNG
Wat te doen bij een datalek na een hack?, Kenniscentrum Europa Decentraal
