Wat als het fout loopt?

1.  Een data breach: documenteer en meld het direct

Iedere KMO moet procedures invoeren om bepaalde inbreuken in verband met persoonsgegevens (ook wel data breach genoemd) te melden. De AVG omschrijft een data breach als een inbreuk op de beveiliging die per ongeluk of met opzet leidt tot een vernietiging, verlies, wijziging of ongeoorloofde toegang of doorgifte van persoonsgegevens.  Een inbreuk komt gemakkelijker voor dan je denkt.  Voorbeelden van data breach:

  • een cyberaanval waarbij ransomware de toegang tot de IT-infrastructuur blokkeert;
  • een verloren of gestolen bedrijfslaptop, USB-stick of CD/DVD met persoonsgegevens;
  • een ernstige stroomuitval heeft tot gevolg dat de toegang tot de servers wegvalt;

De KMO moet elke data breach (ook de allerkleinste) bijhouden in een intern logboek. Dit logboek vermeldt: de oorzaak, de getroffen persoonsgegevens, de gevolgen en de genomen maatregelen. Daarnaast valt het aan te raden om de reden om een data breach al dan niet te melden, hier ook op te nemen. Dit logboek kan geïntegreerd worden in het register van verwerkingsactiviteiten.

Bovendien moet de KMO in bepaalde situaties de inbreuk ook melden:

  • aan de GBA: als de data breach waarschijnlijk een risico inhoudt
    voor de rechten en vrijheden van de betrokkene;  
  • aan de betrokkene: als de data breach waarschijnlijk een hoog risico inhoudt
    voor de rechten en vrijheden van de betrokkene.

1.1   Melden aan de GBA

Een KMO moet een data breach melden aan de GBA als de inbreuk waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkene.

Is de KMO verwerkingsverantwoordelijke, dan moet de melding gebeuren binnen de 72 uur nadat de KMO op de hoogte is van de data breach.  Zo mag een KMO een melding van een klant m.b.t. een mogelijke data breach eerst verifiëren, voordat zij officieel op de hoogte is en de termijn van 72 uur loopt.  Is de KMO zelf een verwerker, dan meldt deze de data breach meteen aan de verwerkingsverantwoordelijke van de KMO.

De melding vermeldt minstens: tijdstip van de data breach, tijdstip waarop de KMO op de hoogte was, de vermoedelijke oorzaak, de getroffen persoonsgegevens, de gevolgen, de genomen maatregelen en de contactgegevens van de persoon die de data breach opvolgt binnen de KMO. De KMO die op de hoogte is van een data breach, maar nog niet over al deze informatie beschikt, mag al overgaan tot melding en de overige informatie later bezorgen.

VOORBEELDEN:
 

  • bij een inbraak wordt een geëncrypteerde DVD gestolen met personeelsgegevens. De KMO heeft een back-up van deze gegevens. Zolang de encryptiesleutel niet wordt gestolen of gekraakt is een melding bij gebrek aan risico niet noodzakelijk;
  • een KMO met een online webshop krijgt een melding van een klant die een verdachte mail ontving om een factuur te betalen. De KMO stelt na onderzoek vast dat een derde haar klantengegevens systematisch onderschept. Nu is de KMO op te hoogte van de data breach en meldt dit binnen de 72 uur aan de GBA en aan al haar hierdoor getroffen klanten.

1.2   Melden aan de betrokkene

Een KMO moet een data breach melden aan de getroffen individuen als de data breach
waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.
Dit is echter niet noodzakelijk als:

  • de KMO veiligheidsmaatregelen had voorzien om toe te passen bij een data breach, zoals bijvoorbeeld een sterke encryptiemethode;
  • de KMO na de data breach maatregelen nam waardoor het hoge risico zich waarschijnlijk niet meer zal voordoen (bijv. wissen op afstand bij diefstal van drager);
  • de individuele mededeling zou onevenredige inspanningen vergen. Een openbare mededeling is in dit geval aangewezen om de betrokkenen te informeren.
VOORBEELDEN:
 
  • een KMO verzamelt (door middel van wearables) gegevens over slaap, eetgewoonten en fysieke activiteit en leidt hieruit gezondheidsinformatie af. De transmissie van deze gegevens blijkt onveilig en hackers hebben ruwe data, samen met de gebruikersprofielen online gepubliceerd. In dit geval is het risico voldoende hoog om zowel de GBA als ook deze gebruikers op de hoogte te brengen. 
  •  een hacker verkrijgt toegang tot de personeelsgegevens van een marketingbedrijf. De intrusie wordt gedetecteerd. Het gaat om: adres, gezinssamenstelling, salaris en ziekteverloven. Het bedrijf licht de GBA in binnen de 72 uur en brengt ook het personeel op de hoogte.

1.3   Wanneer is er een hoog risico

De volgende criteria zijn relevant om te bepalen of er sprake is van een waarschijnlijk (hoog) risico in geval van een data breach.

Deze lijst is niet exhaustief en in de praktijk zal de KMO altijd een feitelijke afweging moeten maken in functie van het concrete geval. Daarom net is het van belang om de reden van niet-melden ook op te nemen in het logboek van de inbreuken in verband met persoonsgegevens:

  • de gevoeligheid van gelekte data: bvb. data van financiële situatie, gezondheid, identiteitsdocumenten;
  • de hoeveelheid gelekte data: bepaalde gegevens zijn afzonderlijk onschuldig, maar in combinatie niet;
  • de mogelijke gevolgen voor een individu: identiteitsdiefstal, fraude, reputatieschade of vernedering;
  • de kwetsbaarheid van individuen: persoonsgegevens van kinderen, ouderlingen, gehandicapte personen;
  • het gemak om individuen te identificeren: zijn de gegevens al dan niet versleuteld of gecodeerd?
  • het aantal getroffen individuen;

2.  Een overtreding van de AVG

Bij overtreding van de AVG kan de betrokkene beroep doen op twee parallelle afdwingingsmechanismen.  De betrokkene die meent dat de verwerking van zijn/haar persoonsgegevens inbreuk maakt op de AVG kan een klacht tot de GBA richten die kan uitmonden in een sanctie voor de KMO of schadevergoeding eisen via de gewone rechtbank. Niets sluit uit dat betrokkenen tegelijkertijd een klacht indienen bij de GBA en zich richten tot de rechter.

2.1   Sancties

De GBA kan verschillende sancties opleggen bij een niet-naleving van de AVG.  Naar aanleiding van een klacht of op eigen initiatief kan de GBA onder andere:

  • een waarschuwing of berisping geven;
  • dwingen om een verzoek van de betrokkene in te willigen;
  • dwingen om binnen een bepaalde termijn de verwerking AVG-conform te maken;
  • de verwerking bevriezen of verbieden;
  • boetes opleggen tot 2% of 4% van de jaaromzet, afhankelijk van de inbreuk.
De KMO heeft een plicht om medewerking te verlenen bij een eventueel onderzoek van de GBA (artikel 31 AVG). Indien u het niet eens bent met een juridisch bindende beslissing van de GBA die aan u gericht is, kan u een voorziening in rechte instellen tegen die beslissing (artikel 78 AVG).

2.2   Schadevergoeding

Iedereen die schade lijdt door een inbreuk op de AVG, kan een schadevergoeding eisen voor de rechtbank.

Indien er meerdere verwerkingsverantwoordelijke en/of verwerkers betrokken zijn bij eenzelfde verwerking kan betrokkene zich zowel tot de verwerkingsverantwoordelijke als de verwerker richten (artikel 82 AVG).

Elke betrokken verwerkingsverantwoordelijke of verwerker is aansprakelijk voor de gehele schade ten opzichte van het getroffen individu, tenzij zij kunnen bewijzen op geen enkele manier verantwoordelijk te zijn voor de geleden schade.

Na de volledige vergoeding van het getroffen individu, kunnen de verwerkingsverantwoordelijke en de verwerker onderling verhaal uitoefenen. De verwerkingsverantwoordelijke of verwerker die de schade geheel heeft vergoed, kan het deel van de schadevergoeding dat overeenkomt met hun deel van de aansprakelijkheid voor de schade verhalen op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken.

Wanneer een in België gevestigde KMO gevoelige klantengegevens opslaat bij een datacenter en er doet zich bij het datacenter een data breach voor, waarbij de klantengegevens van de KMO worden getroffen.

De klant kan zich dan richten tot de Belgische KMO om schadevergoeding te bekomen. Nadien kan de KMO zich keren tegen het datacenter om een deel van de betaalde schadevergoeding terug te vorderen.