Cliënten vragen ons vaak hoe zij moeten bepalen of een inbreuk aan de toezichthoudende autoriteit en/of een betrokkene moet worden gemeld, of dat deze gewoon in een register van gegevensinbreuken moet worden opgenomen.
De AVG verplicht alle instellingen inbreuken in verband met persoonsgegevens te melden aan de Autoriteit Persoonsgegevens (AP) indien het waarschijnlijk is dat deze inbreuken een risico vormen voor de betrokkenen. Deze melding moet plaatsvinden binnen 72 uur nadat de verantwoordelijke voor de verwerking van de gegevens op de hoogte is geraakt van de inbreuk, voor zover dit haalbaar is.
De verantwoordelijke voor de verwerking heeft ook aanvullende verplichtingen om de inbreuk zonder onnodige vertraging aan de betrokkenen te melden, indien de inbreuk waarschijnlijk een hoog risico inhoudt op negatieve gevolgen voor de rechten en vrijheden van personen.
In het verleden was het melden van inbreuken optioneel, zonder verplichting om de AP in te lichten, hoewel belangrijke inbreuken steeds vaker vrijwillig werden gemeld.
Het is daarom heel belangrijk om de inbreuk volledig te beoordelen en een systematisch proces op te zetten dat kan worden gevolgd, zodat de meldbaarheid op de juiste manier wordt vastgesteld.
De te nemen stappen zijn als volgt:
STAP ÉÉN – Wat is een “gegevensinbreuk”?
Om te bepalen of er sprake is van een meldbare inbreuk op persoonsgegevens, moet in de eerste plaats worden nagegaan of er een inbreuk in de persoonsgegevens heeft plaatsgevonden.
Een inbreuk op persoonsgegevens wordt in de richtlijn gedefinieerd als “een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies of wijziging of in een niet-geautoriseerde vrijgave van of toegang tot verstrekte, opgeslagen of anderszins verwerkte persoonsgegevens”.
| ONGEVOEGDE TOEGANG | ONBEVOEGDE BEKENDMAKING | VERLIES |
|---|---|---|
| Gebeurt wanneer toegang tot persoonsgegevens wordt verkregen door iemand die geen toegang mag hebben – onbevoegde toegang door een werknemer, contractant of derde. Voorbeeld: -een computernetwerk dat wordt gecompromitteerd door een externe aanvaller, waardoor onbevoegd toegang wordt verkregen tot persoonsgegevens. | Treedt op wanneer persoonsgegevens toegankelijk of zichtbaar worden gemaakt voor derden en die informatie aan de feitelijke controle van de instelling wordt onttrokken op een ongeoorloofde wijze. Voorbeeld: -een werknemer publiceert per ongeluk een vertrouwelijk gegevensbestand met de persoonlijke informatie van één of meer personen op het internet. | Gebeurt wanneer persoonsgegevens van een instelling per ongeluk of onbedoeld verloren gaan, in omstandigheden waarin dit waarschijnlijk zal leiden tot onbevoegde toegang of openbaarmaking. Voorbeeld: -Een werknemer laat mappen met persoonlijke informatie achter in een trein. |
STAP TWEE – Is ernstige schade waarschijnlijk?
In de tweede stap wordt nagegaan of, vanuit het perspectief van een normaal persoon, de inbreuk in verband met persoonsgegevens kan leiden tot ernstige schade aan de persoon van wie de persoonsgegevens onderdeel waren van de inbreuk in verband met persoonsgegevens.
“Ernstige schade” is niet gedefinieerd in de AVG. In het licht van een gegevensinbreuk kan ernstige schade voor een persoon ook ernstige fysieke, psychologische, emotionele, financiële of reputatieschade omvatten.
Instellingen moeten het risico op ernstige schade op holistische wijze beoordelen, waarbij zij rekening houden met de waarschijnlijkheid van de schade voor de betrokkenen en de gevolgen van de schade.
Elementen om de waarschijnlijkheid van ernstige schade te beoordelen zijn in het algemeen:
1. Omstandigheden van de gegevensinbreuk: Relevante overwegingen in dit verband zijn;
-
- Of de inbreuk opzettelijk of onopzettelijk was: wanneer een derde partij zich lijkt te richten op de persoonsgegevens van een bepaalde persoon of groep personen, kan dit het risico op ernstige schade vergroten, aangezien het waarschijnlijker is dat de gegevens voor kwaadaardige doeleinden zijn bestemd.
- Hoe lang de inbreuk toegankelijk is geweest: hoe langer de periode van toegang, hoe groter de kans op ernstige schade.
- Omvang van de betrokken persoonsgegevens: hoe meer persoonsgegevens bij een inbreuk betrokken zijn, hoe groter de kans dat de betrokkenen worden geïdentificeerd en hoe groter dus de kans op ernstige schade.
- Type persoonsgegevens: informatie over de gezondheid of de financiën van een persoon kan ernstige schade veroorzaken als de gegevens worden onderschept.
- Betrokken personen – Indien de betrokken informatie in de eerste plaats betrekking heeft op personen waarvan bekend is dat zij kwetsbaar zijn, kan dit het risico op ernstige schade vergroten.
- Aantal betrokkenen – Wanneer een inbreuk op de gegevens een groot aantal betrokkenen treft, is het, zelfs indien het soort persoonsgegevens op zich geen hoog risico inhoudt (zoals namen en adressen), waarschijnlijker dat ten minste een aantal van hen ernstige schade ondervindt wanneer meer betrokkenen bij de inbreuk betrokken zijn.
- Welke partijen hebben toegang gekregen tot de persoonsgegevens – indien een derde partij die toegang heeft gekregen tot de persoonsgegevens, bekend staat als een crimineel, is het risico op ernstige schade zeer groot.
2. Aard van de schade die uit de inbreuk in verband met persoonsgegevens kan voortvloeien: Bij de beoordeling van het risico op ernstige schade is het zeer nuttig na te gaan wat de mogelijke gevolgen van een dergelijke inbreuk zijn en hoe groot de kans is dat elk gevolg zich voordoet.
Voorbeelden zijn:
-
- pesterijen of marginalisering op de werkplek of in de maatschappij
- financieel verlies voor de betrokkene
- verlies van zakelijke of werkgelegenheidskansen
- identiteitsdiefstal
- vernedering
- relatiebeschadiging
STAP DRIE: Risicobeoordeling
Er moet een officiële risicobeoordeling worden uitgevoerd om de bovengenoemde grote categorieën uitvoerig te beoordelen en samenhang te brengen in elke inbreukbeoordeling die wordt uitgevoerd.
Dit zou zonder onnodige vertraging moeten gebeuren.
Wanneer wordt vastgesteld dat er sprake is van een laag of middelmatig niveau van schade of risico, moet de inbreuk in verband met persoonsgegevens worden opgenomen in het register van gegevensinbreuken van de instelling.
Wanneer echter een hoog of ernstig risico voor een betrokkene wordt vastgesteld, moet de inbreuk in verband met persoonsgegevens worden gemeld aan de AP en aan de getroffen betrokkene(n), met inachtneming van de voorgeschreven termijn van 72 uur om te melden.
