WAT IS EEN GDPR GEGEVENSINCIDENT?
Volgens de GDPR wordt een gegevensincident gedefinieerd als "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens".
Definitie en voorbeelden van datalekken
Er zijn drie hoofdtypen van GDPR gegevensincidenten:
-
Inbreuk op vertrouwelijkheid: Wanneer persoonsgegevens ongeoorloofd worden gedeeld of ingezien
-
Inbreuk op beschikbaarheid: Als gegevens tijdelijk of permanent ontoegankelijk zijn
-
Inbreuk op integriteit: Wanneer persoonsgegevens ongeoorloofd zijn gewijzigd
Verschil tussen incident en datalek
Een belangrijk onderscheid is dat niet elk beveiligingsincident een datalek is. Een incident betreft elke gebeurtenis waarbij de beveiliging mogelijk in gevaar is gebracht. Een datalek ontstaat specifiek wanneer persoonsgegevens betrokken zijn. Bijvoorbeeld: het verliezen van een sleutel is een incident, maar wordt pas een datalek als hierdoor toegang is verkregen tot persoonsgegevens.
Impact op betrokkenen
De gevolgen van een GDPR breach kunnen ernstig zijn voor betrokkenen. Deze kunnen bestaan uit:
-
Fysieke schade: Bijvoorbeeld wanneer medische gegevens ontoegankelijk worden
-
Materiële schade: Zoals financieel verlies door identiteitsdiefstal
-
Immateriële schade: Waaronder discriminatie, reputatieschade of inbreuk op privacy
-
Meer dan 80% van de datalekken ontstaat per ongeluk, bijvoorbeeld door het versturen van e-mails naar verkeerde ontvangers of het verliezen van apparatuur met persoonsgegevens.
GEGEVENSINCIDENT
WAT NU?
Elke dag worden er gemiddeld 15 tot 20 datalekken gemeld bij de Autoriteit Persoonsgegevens in Nederland. In België ligt dit getal lager maar het aantal meldingen stijgt ook jaar na jaar. Deze GDPR data breaches kunnen grote gevolgen hebben voor zowel organisaties als betrokkenen.
Een datalek kan variëren van een verkeerd verstuurde e-mail tot een grootschalige hack van klantengegevens. De boetes voor het niet correct melden of afhandelen van een GDPR breach kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet. Daarnaast kan een datalek leiden tot reputatieschade en verlies van vertrouwen bij klanten.
In deze gids ontdekt u alles wat u moet weten over GDPR gegevensincidenten: van de definitie en meldplicht tot preventieve maatregelen. U leert wanneer een incident gemeld moet worden, hoe u risico's beoordeelt en welke stappen u moet nemen bij een datalek. Ook krijgt u praktische handvatten voor het opstellen van een effectief responsprogramma.
WETTELIJKE MELDPLICHT EN TERMIJNEN
Bij een GDPR gegevensincident moet u snel handelen om aan de wettelijke meldplicht te voldoen. De regelgeving stelt strikte eisen aan zowel de timing als de inhoud van uw melding.
72-uurs meldingsplicht aan de GBA
Wanneer u kennis neemt van een datalek, moet u dit zonder onredelijke vertraging en indien mogelijk binnen 72 uur melden aan de Gegevensbeschermingsautoriteit (GBA). Deze verplichting geldt echter alleen als het incident waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen.
Als u de 72-uurs deadline niet haalt, moet u een geldige reden opgeven voor de vertraging. Let op: weekenden, vakanties, ziekte of drukte worden niet als geldige redenen beschouwd.
Wanneer betrokkenen informeren
U moet de betrokkenen direct informeren wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden.
Dit geldt bijvoorbeeld bij:
-
Diefstal van gevoelige gegevens zoals medische informatie
-
Situaties waarbij identiteitsfraude mogelijk is
-
Gevallen met significante privacy-impact
Documentatie-eisen
Voor elk gegevensincident moet u een intern register bijhouden met de volgende informatie:
- Feiten: Aard van het incident en getroffen gegevens
- Impact: Gevolgen voor betrokkenen
- Maatregelen: Genomen corrigerende acties
- Genomen corrigerende acties
- Tijdlijn: Moment van ontdekken, de genomen maatregelen en melding
Deze documentatie is essentieel voor het aantonen van uw compliance en kan worden opgevraagd door de toezichthouder. Bij niet-naleving van de meldplicht riskeert u boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Laat u tijdig bijstaan door de experten van Mr. Franklin om een correcte meding te maken bij de GBA en sancties te voorkomen.
PREVENTIEVE MAATREGELEN
Om datalekken te voorkomen moet u een combinatie van technische en organisatorische maatregelen implementeren. Een effectieve beveiligingsstrategie vereist een gelaagde aanpak.
Technische beveiligingsmaatregelen
De basis van uw gegevensbescherming ligt in robuuste technische maatregelen. Moderne techniek is essentieel voor adequate beveiliging van persoonsgegevens. Implementeer deze kernelementen:
-
Encryptie en versleuteling voor gegevens in rust en transit
-
Firewall en antivirussoftware met regelmatige updates
-
Tweefactorauthenticatie voor toegangsbeveiliging
-
Back-upsystemen voor gegevensbescherming
Organisatorische maatregelen
Naast technische oplossingen zijn organisatorische maatregelen cruciaal voor effectieve gegevensbescherming. Uit onderzoek blijkt dat maar liefst 74% van alle datalekken ontstaat door het versturen van informatie naar verkeerde ontvangers.
Medewerkerstraining
Uw medewerkers vormen de eerste verdedigingslinie tegen datalekken. Training is essentieel omdat 79% van alle datalekken wordt veroorzaakt door menselijke fouten. Een effectief trainingsprogramma moet zich richten op:
-
Herkenning van beveiligingsrisico's en phishing-pogingen
-
Veilige omgang met persoonsgegevens
-
Procedures voor incidentmelding
-
Bewustwording van GDPR-verplichtingen
Het is belangrijk om te beseffen dat beveiligingsmaatregelen continu geëvalueerd en geactualiseerd moeten worden. Technologie evolueert snel en nieuwe dreigingen ontstaan voortdurend. Daarom is het essentieel dat u regelmatig uw beveiligingsmaatregelen test en bijwerkt om een adequaat beschermingsniveau te behouden.
Mr. Franklin kan specifieke trainingen op maat voorzien binnen uw organisatie rond GDPR, omgaan met veiligheidsincidenten en datalekken, het veiligheidsbeleid binnen uw organisatie en rond phishing. Vraag vrijblijvend een offerte op!
RISICO BEOORDELING
Om effectief met GDPR gegevensincidenten om te gaan, moet u een systematische aanpak hanteren voor risicobeoordeling. Een doordachte methodologie helpt u bepalen welke acties nodig zijn bij een datalek.
Hoog vs. laag risico incidenten
Een incident wordt als hoog risico geclassificeerd wanneer het kan leiden tot:
-
Fysieke, materiële of immateriële schade voor betrokkenen
-
Discriminatie of identiteitsdiefstal
-
Financiële verliezen of reputatieschade
-
Verlies van vertrouwelijkheid van gevoelige gegevens
-
Volgens de richtlijnen moet u bij een hoog risico incident altijd de betrokkenen informeren. Bij laag risico incidenten, waarbij adequate beveiligingsmaatregelen waren getroffen zoals encryptie, is melding aan betrokkenen niet verplicht.
Beslisboom voor melding
Voor een effectieve risicobeoordeling kunt u deze stappen volgen:
-
Identificatie: Bepaal of er persoonsgegevens zijn gelekt
-
Impact analyse: Beoordeel de ernst van de mogelijke gevolgen
-
Risicoclassificatie: Bepaal of het een hoog of laag risico betreft
-
Meldingsbesluit: Beslis over melding aan AP en/of betrokkenen
Bij twijfel over de risico-inschatting is het raadzaam om het incident te melden, aangezien de Gegevensbescherlingsautoriteit of de Autoriteit Persoonsgegevens indien u een Nederlandse onderneming bent kan onderzoeken of u correct heeft gehandeld. Een goed gedocumenteerde risicobeoordeling kan helpen bij het rechtvaardigen van uw beslissing.
Q&A
Q1. Wat wordt beschouwd als een GDPR gegevensincident?
Een GDPR gegevensincident is een inbreuk op de beveiliging die leidt tot ongeoorloofde toegang, vernietiging, verlies of wijziging van persoonsgegevens. Dit kan variëren van een verkeerd verstuurde e-mail tot een grootschalige hack van klantengegevens.
Q2. Binnen welke termijn moet een datalek gemeld worden?
Een datalek moet zonder onredelijke vertraging en indien mogelijk binnen 72 uur na ontdekking gemeld worden aan de Gegevensbeschermingsautoriteit (GBA), als het incident waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen.
Q3. Wanneer moeten betrokkenen geïnformeerd worden over een datalek?
Betrokkenen moeten direct geïnformeerd worden wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden, bijvoorbeeld bij diefstal van gevoelige gegevens of mogelijke identiteitsfraude.
Q4. Hoe kan een organisatie het risico van een datalek beoordelen?
Een organisatie kan het risico beoordelen door factoren te evalueren zoals de aard van het incident, de gevoeligheid van de data, de identificeerbaarheid van betrokkenen en de mogelijke impact op hen. Deze beoordeling helpt bepalen of het een hoog of laag risico incident betreft.
Q5. Welke preventieve maatregelen kunnen datalekken voorkomen?
Effectieve preventieve maatregelen omvatten technische oplossingen zoals encryptie en meerstapsverificatie, organisatorische maatregelen zoals toegangscontrole en een informatiebeleid, en regelmatige training van medewerkers in veilige omgang met persoonsgegevens en herkenning van beveiligingsrisico's.