welke juridische stappen na hack

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek. We hebben ook een praktische After Hack Checklist die je kan downloaden om stap per stap alles af te vinken.

1. Is er sprake van een datalek?

Om te weten of er effectief sprake is van een datalek, moet je verschillende zaken voor ogen houden. Juridisch spreken we pas over een datalek wanneer het gaat om het lekken van persoonsgegevens. Andere gegevens die gelekt worden, ongeacht hoe waardevol, vallen niet binnen het toepassingsgebied van de GDPR.

Daarnaast moeten die persoonsgegevens blootgesteld zijn aan misbruik of verlies. Iemand moet er dus wat mee gedaan hebben, wat niet de bedoeling was. Wat ook mogelijk is, is dat ze verloren zijn gegaan zonder dat ze opnieuw opgevraagd kunnen worden.

Ten derde moet de blootstelling te wijten zijn aan een inbreuk op de veiligheid. Er moet dus een technische of organisatorische beveiligingsmaatregel omzeild, uitgeschakeld of gemanipuleerd zijn. Het doet er niet toe hoe triviaal dit is, noch is het van belang of de veiligheid op orde was en hoe moeilijk of makkelijk de blootstelling voorkomen had kunnen worden. Een belangrijke opmerking hierbij is dat het moet gaan om een effectieve schending en het lekken van gegevens. Als je een probleem ontdekt, zoals een beveiligingsprobleem in de infrastructuur, is dit niet automatisch een datalek.

Je moet uiteraard wel verifiëren of er gegevens gelekt zijn. Wanneer je niet kan aantonen dat er GEEN datalek geweest is, moet je er van uit gaan dat dit wel zo is. Zonder tegenbewijs is een probleem wel degelijk een datalek. In elk geval is rapportering in het incidentenrapport aangewezen en is de melding ervan geen slecht idee.

Indien aan voorgaande drie eisen voldaan is, is er sprake van een datalek. Wanneer dat het geval is, moet je bepaalde maatregelen nemen.

2. Registratie in het incidentenregister?

Belangrijk is dat elk datalek, hoe triviaal ook, geregistreerd moet worden. Dit gebeurt in wat je een incidentenregister zou kunnen noemen. De volgende zaken worden best vermeld:

  • Wat is er gebeurd?
  • Wanneer is het gebeurd?
  • Heb je het datalek gemeld?
  • Waaarom wel/niet?
  • Welke maatregelen heb je genomen om het datalek te stoppen of te beperken?
  • Welke maatregelen zal je nemen om datalekken in de toekomst te voorkomen?

3. Melding bij de gegevensbeschermingsautoriteit

Je moet ieder datalek melden bij de Gegevensbeschermingautoriteit. De enige uitzondering is wanneer het onwaarschijnlijk is dat er risico’s zijn voor de privacy van de betrokkene(n). De bedoeling hiervan is om echt onschuldige datalekken buiten beeld te houden, maar de lat ligt hier wel enorm laag. Er wordt nogal snel aangenomen dat er sprake is van een risico voor de privacy van een betrokkene.

Wanneer is een datalek ernstig?

Een datalek kan op twee vlakken als ernstig beschouwd worden. Enerzijds kwantitatief (qua omvang) en anderzijds kwalitatief (omwille van de gelekte gegevens zelf). Zo zal een lek van duizenden gegevens op kwantitatief niveau ernstiger zijn dan een lek van twintig gegevens. Langs de andere kant is het mogelijk dat die twintig gelekte gegevens wel als ernstig beschouwd moeten worden omwille van hun aard en er dus een kwalitatief lek is.

Gevoelige gegevens zijn onder andere inloggegevens, financiële gegevens, identiteitsbewijzen, strafrechtelijke gegevens, medische gegevens, enz. Het begrip ‘gevoelig’ staat niet in de GDPR. Als gegevens als bijzonder worden omschreven, dan worden ze wel automatisch als gevoelig bestempeld. Datalekken van gevoelige gegevens moeten altijd gemeld worden ongeacht de hoeveelheid.

Waar moet je het datalek melden?

De melding van het datalek is eigenlijk vormvrij, maar door de toezichthoudende autoriteit is hiervoor een procedure in het leven geroepen. De melding dient te gebeuren via de website van de Gegevensbeschermingsautoriteit. Op de hoofdpagina is er een directe link voor de melding van datalekken, waarbij een formulier gedownload kan worden om alle relevante gegevens door te geven omtrent het datalek. Het gaat onder andere om de verwerkingsverantwoordelijke, welk soort persoonsgegevens, een inschatting van de verwachte gevolgen, enz.

Wanneer moet je het datalek melden?

Een datalek dient binnen de 72 uur na de ontdekking ervan gemeld te worden. Belangrijk hierbij is dat het gaat om 72 uur na de ontdekking en niet 72 uur na de feiten. De termijn begint dus pas te lopen vanaf het ogenblik dat je op de hoogte bent van het datalek.

Het is daarnaast ook mogelijk dat je binnen die termijn niet volledig op de hoogte bent van de omvang en de gradatie ervan en dus niet alle informatie hebt. Het is perfect mogelijk om een voorlopige of partiële melding te doen van een datalek en deze aan te vullen zodra je alle relevante informatie hebt.

Een datalek kan complex zijn en pas laat aan het licht komen of overal in de onderneming opduiken. Zodra iemand binnen de onderneming zich bewust is dat er persoonsgegevens verkeerd terecht gekomen zijn of verloren zijn gegaan, spreken we van een datalek en begint de termijn te lopen. Dat staat dus niet gelijk aan de opstart van de interne procedure of de melding aan een centraal bevoegde persoon of aan de Data Protection Officer. Het moment van de feitelijke ontdekking is hier bepalend.

Wat gebeurt er na de melding?

Na de melding kan de toezichthoudende autoriteit een onderzoek opstarten als er een vermoeden is van een overtreding door de onderneming of zijn verwerkers. De toezichthoudende autoriteit kan daarnaast corrigerend optreden als dergelijk vermoeden gestaafd zou worden.

Een melding zal niet actief openbaar gemaakt worden door de toezichthoudende autoriteit. Er is op die manier voor de onderneming ook geen risico op openbaarmaking. De toezichthoudende autoriteit mag in haar jaarverslag echter wel lijsten opnemen van gemelde inbreuken en bijhorende maatregelen, maar hierbij is de vermelding van de specifieke ondernemingen niet vereist.

4. Melding bij de betrokkenen

Wanneer een datalek een groot risico voor de betrokkenen oplevert, moeten die hierover zo snel mogelijk geïnformeerd worden. Die mededeling moet dezelfde informatie bevatten als de melding aan de Gegevensbeschermingsautoriteit, maar is vormvrij.

Wat moet je melden?

De omschrijving van het datalek en de persoonsgegevens moeten in duidelijke en eenvoudige taal staan, zodat de lezer meteen doorheeft wat dit voor hem of haar kan betekenen. Daarnaast moet er in de melding ook opgenomen worden welke maatregelen mensen kunnen nemen om zich te beschermen tegen eventuele verdergaande risico’s

Wanneer moet je het melden?

De termijn van de melding hangt voornamelijk af van het risico. Hoe acuter een risico is, hoe sneller de mededeling gedaan moet worden. Een mededeling mag echter worden uitgesteld als de verwerkingsverantwoordelijke nog bezig is met passende maatregelen te nemen, maar zonder dat dit de redelijkheid overschrijdt.

Wanneer moet je niets melden?

Alle datalekken die voldoen aan de criteria moeten worden gemeld, ook als het er op lijkt dat de gevolgen zich niet gaan voordoen. De GDPR heeft twee belangrijke uitzonderingen op de algemene meldingsplicht.

  1. Als de gegevens zodanig versleuteld zijn dat er geen gebruik van de gegevens kan worden gemaakt.
  2. Als men de gevolgen direct tot nul kan reduceren.

Voor de duidelijkheid: in deze gevallen moet de Gegevensbeschermingsautoriteit wel nog steeds geïnformeerd worden, maar niet de betrokkene zelf.

(met dank aan deJuristen voor hun input)

Download ons gratis After the Hack eBook

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

google search console hack

Hoe herstel je je Google zoekresultaten na een hack?

Na een hack sta je in Google nog steeds te kijk met de boodschap “Deze site is mogelijk gehackt”. Vervelend. Maar hoe los je dat op?

Lees meer