Loyalty Insight

De Algemene Verordening Gegegevensbescherming: Deel 4

Informatie over de AVG ter voorbereiding op 25 mei 2018

Op 24 januari 2018 publiceerden wij het 3e deel van ons artikel over de AVG die op 25 mei 2016 in werking is getreden en vanaf 25 mei 2018 gehandhaafd gaat worden. Je hebt je inmiddels vast verdiept in de veranderingen en diverse acties ondernomen voor jouw organisatie. Maar wat nu als er toch persoonsgegevens op straat komen te liggen? In dit laatste deel informeren wij je over datalekken, informeren van betrokkenen en mogelijke boetes.

Wat is een datalek?

Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Dit is niet alleen het geval bij inbraak in een databestand (hacken). Ook een kwijtgeraakte usb-stick, een gestolen laptop, een e-mail aan een verkeerde geadresseerde, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.

Zorg dat jouw organisatie een datalekken protocol heeft zodat voor iedereen duidelijk is hoe er gehandeld moet worden indien een datalek zich voordoet.

 

 

Datalekken binnen de AVG

Onder de AVG worden de eisen aangaande datalekken t.o.v. de Wbp wat strenger. Samengevat komt het hier op neer:

  • Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet,  dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
  • Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat de betrokkene eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
  • Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

 

Wanneer hoef je betrokkenen niet te informeren na een datalek?

Bij een hoog risico na een datalek dien je dus de betrokkenen te informeren over het datalek. Volgens artikel 34 van de AVG zijn er een drietal uitzonderingen waarbij je betrokken niet hoeft te informeren:

  1. Als er sprake is van goede encryptie of wanneer persoonsgegevens zijn gepseudonimiseerd.
  2. Indien het informeren van betrokkenen onevenredig veel inspanning kost. In dat geval kan worden volstaan met een openbare mededeling.
  3. Indien de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om te zorgen dat het hoge risico zich waarschijnlijk niet meer voor zal doen, is melding aan de betrokkene niet vereist. Deze uitzondering is niet zo logisch. Dit lijkt mosterd na de maaltijd.


Registreren van het datalek en melding maken bij de AP

Het doel van het registreren is dat ervan kan worden geleerd, om datalekken in de toekomst zo veel mogelijk te voorkomen. Een ander doel is dat daarmee aan de Autoriteit Persoonsgegevens kan worden aangetoond dat datalekken daadwerkelijk worden gemonitord en opgevolgd.

In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen minimaal omschreven moet worden. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG). Wat je in ieder geval moet registreren:

  • Een korte omschrijving van het datalek
  • Wanneer het datalek ontdekt is en wanneer het plaats heeft gevonden
  • Wat er met de gegevens is gebeurd (zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd?)
  • Van welke groep(en) personen er gegevens gelekt zijn en om hoeveel personen het gaat
  • Om welke soorten gegevens het gaat
  • De (mogelijke) gevolgen van de inbreuk (bijvoorbeeld een risico op identiteitsfraude of reputatieschade)
  • De maatregelen die zijn genomen naar aanleiding van het datalek. Welke actie is ondernomen om schade te voorkomen of zo veel mogelijk te beperken (bijvoorbeeld het op afstand wissen van gegevens, of het wijzigen van wachtwoorden)? Maar ook: wat heb je gedaan om te zorgen dat het niet nog een keer kan gebeuren?

 

Boetes die de Autoriteit Persoonsgegevens mag uitdelen

Op grond van de AVG wordt de boetebevoegdheid van de AP verder uitgebreid. De boetes kunnen dan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet bedragen. In vergelijking: onder de Wbp kan het bedrag oplopen tot maximaal €820.000. De extreem hoge boetebedragen onder de AVG zijn in het leven geroepen om grote multinationals tot gedragsverandering te bewegen. Deze wet biedt de mogelijkheid om de boetes aan te passen naar de grootte van het bedrijf. Het is daarmee ook de bedoeling om organisaties te laten afschrikken, zodat zij er alles aan zullen doen om compliant te worden.

Bij het bepalen van de boete wordt met de volgende factoren rekening gehouden:

  • De ernst van de overtreding. De AP stemt de beoordeling van de ernst van de overtreding in het concrete geval af op:
    • De aard en omvang van de overtreding
    • De duur van de overtreding
    • De impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij
  • De mate waarin de overtreding aan de overtreder kan worden verweten. De AP kijkt of er sprake is van een opzettelijke overtreding of een ernstig verwijtbare nalatigheid
  • De AP houdt zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert

 

De boetes:

  1. een boete van maximaal €10.000.000 of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
  2. een boete van maximaal €20.000.000 of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
  3. een boete van maximaal €20.000.000  of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
  4. een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

 

 

Bronnen:

Vijverberg juristen
ICT Recht
Autoriteit Persoonsgegevens

Meer weten over dit artikel? Neem contact op met...

Dennis Slier

Reacties
Plaats een reactie

Schrijf je in voor de nieuwsbrief!

Schrijf je in voor de nieuwsbrief!

Een initiatief van: