Datalekken – groot of klein – vinden op dagelijkse basis plaats. Alhoewel technische beveiligingsmaatregelen voor de hand liggende risico’s kunnen afdekken, moeten ook de organisatorische maatregelen niet worden onderschat.
In dit blog ga ik in op een aantal organisatorische maatregelen die genomen kunnen (of soms moeten) worden op contractueel, beleidsmatig en op educatief gebied. Deze maatregelen kunnen meldprocessen stroomlijnen en optimaliseren om in algemene zin te kunnen voldoen aan de meldverplichtingen die de AVG kent. Denk bijvoorbeeld aan het trainen van je medewerkers hoe zij op een veilige manier omgaan met persoonsgegevens.
Een datalek, in de AVG ook wel “inbreuk in verband met persoonsgegevens” genoemd, moet in principe altijd worden gemeld bij de relevante toezichthouder. Hiervan kan slechts worden afgeweken als het niet waarschijnlijk is dat het datalek een risico inhoudt voor de betrokkenen. Uit de recente richtsnoeren van de European Data Protection Board (‘EDPB’), de EU toezichthouders, kan worden opgemaakt dat deze drempel vrij hoog ligt. Voorbeelden van gevallen waarin niet hoeft te worden gemeld zijn (1);
Incidenten waarbij persoonsgegevens die al op een andere wijze (rechtmatig) openbaar zijn gemaakt, betrokken zijn;
Incidenten waarbij sprake is van encrypted data en waarbij kan worden vastgesteld dat de sleutel om de persoonsgegevens te ontcijferen geen onderdeel was van het incident;
Incidenten waarbij de persoonsgegevens voor het incident onleesbaar zijn gemaakt en waarbij de back-up nog intact is.
Het voorgaande is in lijn met eerdere versie van de richtsnoeren.
Wanneer het waarschijnlijk is dat een datalek een hoog risico inhoudt voor betrokkenen, moet ook melding worden gemaakt bij de betrokkenen zelf. Dit kan direct, bijvoorbeeld via een e-mail of een brief, of indirect, bijvoorbeeld via een bericht op de website.
In beide gevallen moet informatie over de aard van de inbreuk, de mogelijke gevolgen en de genomen maatregelen worden verstrekt.
Wanneer sprake is van een datalek moet snel worden gehandeld. Niet alleen geldt dat de meldplicht binnen 72 uur na ontdekking moet worden voldaan, ook moeten eventuele negatieve gevolgen en/of schade zo veel mogelijk en zo snel mogelijk worden beperkt.
Waar de technische maatregelen datalekken kunnen beperken of in voorkomende gevallen kunnen signaleren, dragen organisatorische maatregelen bij aan het op juiste wijze melden en afhandelen van een datalek. Hieronder zijn een aantal kaders opgenomen waarbinnen maatregelen kunnen worden genomen.
Een datalek kan elke onderneming treffen. Wordt een organisatie aangemerkt als verantwoordelijke en wordt een door haar ingeschakelde verwerker getroffen door een datalek, dan moet de verantwoordelijke het datalek melden. Het is dus van belang dat een verantwoordelijke in bepaalde mate invloed uitoefent op de wijze waarop een ingeschakelde verwerker omgaat met datalekken en andere soorten beveiligingsincidenten.
Uit artikel 28 AVG volgt dat een verwerkersovereenkomst, welke altijd moet worden aangegaan wanneer een verantwoordelijke een verwerker inschakelt, in elk geval een bepaling moet bevatten waaruit volgt dat de verwerker de verantwoordelijke helpt bij het kunnen voldoen aan de verplichtingen rondom het melden van datalekken. Hoe hieraan moet worden voldaan volgt niet expliciet uit de AVG.
Het verdient aanbeveling om in de verwerkersovereenkomst uit te werken welke concrete informatie dient te worden verstrekt wanneer zich een datalek voordoet. Dit zodat een verantwoordelijke zo goed mogelijk kan voldoen aan haar meldplicht, althans kan onderzoeken of zij daaraan zou moeten voldoen. Het is hierbij tevens belangrijk om te duiden of alleen informatie moet worden verstrekt in geval van een inbreuk in verband met persoonsgegevens of ook wanneer ‘enkel’ sprake is van een beveiligingsincident (zonder betrokkenheid van persoonsgegevens), op welke termijn de informatie moet worden verstrekt en in hoeverre de verwerker beschikbaar is tussen de periode van de melding aan de verantwoordelijke en de afhandeling van het datalek.
Voldoet een verwerker niet aan wat is afgesproken, dan kan eventueel medewerking worden gevorderd in (logischerwijs) een kort geding. Zo oordeelde de voorzieningenrechter in Rotterdam onlangs dat een verwerker op “loyale en royale wijze” diende mee te werken aan het verstrekken van informatie en opvolgende verzoeken van de verantwoordelijke in dat kader, aangezien dit volgde uit de toepasselijke verwerkersovereenkomst (2).
Via de overeenkomst kan dus worden geprobeerd grip te krijgen voor zover het gaat om datalekken buiten de eigen organisatie.
Het is van net zo groot belang om datalekken intern op een passende wijze op te volgen. Een gestroomlijnd meldproces draagt bij aan gedegen onderzoek en aan het tijdig kunnen melden indien dit vereist is.
Voor een geslaagd intern beleid is het allereerst van belang dat werknemers begrijpen wat een datalek is en in meer of mindere mate kunnen vaststellen wanneer daar mogelijk sprake van zou kunnen zijn. Vervolgens moet informatie over het (mogelijke) datalek zo snel mogelijk terecht komen bij de personen binnen de organisatie (i) die maatregelen kunnen inzetten om de gevolgen van een datalek zo veel mogelijk te beperken en (ii) die kunnen bepalen of er sprake is van een meldplicht. Als laatste moet worden geborgd dat elk datalek, gemeld of niet, wordt vastgelegd in een intern register. Wordt gekozen om een datalek niet te melden, dan is het raadzaam om de overwegingen in dat kader ook op te nemen in het register.
Een intern datalekkenbeleid draagt ook bij aan de verantwoordingsplicht, aldus de EU toezichthouders.
Het op adequate wijze opleiden van werknemers kan eveneens in grote mate bijdragen aan het beheersen van datalekken in de eerste plaats en het vervolgens melden van eventuele datalekken.
Opleiding en training moet in eerste instantie zien op preventie: hoe wordt op een passende en veilige manier omgegaan met persoonsgegevens? Dit raakt aan een beveiligings- of computerreglement dat idealiter beschikbaar is binnen de organisatie. Als werknemers op de hoogte zijn van wat wel en niet toelaatbaar is, kan de kans op ‘man-made’ datalekken afnemen.
Datalekken zijn desalniettemin onvermijdelijk. Het is daarom belangrijk dat werknemers ook weten wat mogelijk als datalek kan kwalificeren. Dit zodat zij eventuele datalekken kunnen herkennen en vervolgens kunnen melden bij de juiste personen binnen de organisatie.
Als laatste moeten werknemers op de hoogte worden gesteld van het interne meldproces: bij wie moet ik een mogelijk incident melden? Deze stap kan bijdragen aan de snelle beheersing van een mogelijk datalek.
Het enkel beschikbaar stellen van interne documentatie zal niet altijd leiden tot het gewenste effect nu niet kan worden aangenomen dat elke werknemer dergelijke documentatie doorneemt. Een verplichte training of een (online) opleiding kan hierbij helpen, aangezien het werknemers op een actieve manier bewust maakt van beveiligingseisen, datalekken en eventuele gevolgen daarvan.
Als organisatie is het van belang om goed voorbereid te zijn op een mogelijk datalek. Aangezien een datalek niet altijd voorkomen kan worden, is het noodzakelijk om adequaat te kunnen handelen als er zich één voor doet. Naast technische maatregelen kunnen op verschillende vlakken organisatorische maatregelen een oplossing bieden voor een optimale voorbereiding.
Een datalek op zich is overigens niet per definitie onrechtmatig. Het niet melden ervan terwijl dat wel had gemoeten of het gebrek aan redelijkerwijs passende maatregelen waardoor een datalek heeft kunnen plaatsvinden, wel. Wees daarom voorbereid.
https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf
https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBROT:2023:2931
