In 2018 bracht de voormalige WP29 een richtlijn uit waarin de meldplicht uit de AVG werd geanalyseerd en op een praktijkgerichte wijze werd uitgelegd. Onlangs heeft de EDPB, die de WP29 heeft opgevolgd, een nieuwe, aanvullende richtlijn uitgebracht. Ik schreef daar al kort over in deze blog.
In de nieuwe richtlijn gaat de EPDB in op vaak voorkomende praktijkgevallen, namelijk:
- Ransomware;
- Verlies van persoonsgegevens na cybercriminaliteit;
- Menselijke fouten;
- Verloren of gestolen apparatuur en papieren documenten;
- Verkeerd verzonden post;
- Social engineering.
Deze voorbeelden kunnen behulpzaam zijn bij de risicoanalyse die verwerkingsverantwoordelijken moeten maken bij een datalek.
Terug naar de basis: hoe zat het ook alweer?
Artikel 33 en 34 AVG bepalen dat de verwerkingsverantwoordelijke melding moet maken van inbreuken in verband met persoonsgegevens. Deze melding moet worden gedaan aan de Autoriteit Persoonsgegevens en in ernstige gevallen ook aan de betrokkenen om wiens gegevens het gaat.
Inbreuk in verband met persoonsgegevens
Van een ‘inbreuk in verband met persoonsgegevens’ is sprake bij een inbreuk op de beveiliging, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (artikel 4 lid 12 AVG).
Uit de Richtlijn uit 2018 weten we al dat inbreuken kunnen worden onderverdeeld in drie categorieën, die ook terugkomen in het meldingsformulier van het Meldloket van de AP:
- Inbreuk op de vertrouwelijkheid: als er sprake is van ongeoorloofde of onbedoelde verstrekking van of toegang tot persoonsgegevens.
- Inbreuk op de integriteit: als er sprake is van een ongeoorloofde of onopzettelijke wijziging van persoonsgegevens.
- Inbreuk op de beschikbaarheid: als er sprake is van een onopzettelijk of ongeoorloofd verlies van toegang tot persoonsgegevens of een onopzettelijke of ongeoorloofde vernietiging van persoonsgegevens.
Binnen 72 uur melden aan AP, ‘onverwijld’ aan betrokkenen
Op grond van artikel 33 AVG moeten ‘inbreuken in verband met persoonsgegevens’ worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat deze inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De melding moet worden gedaan binnen 72 uur na de ontdekking van de inbreuk.
Indien de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan moeten op grond van artikel 34 AVG ook de betrokkenen worden geïnformeerd.
Risico-inventarisatie
Na het ontdekken van een cyberincident (of in AVG-terminologie: een inbreuk in verband met persoonsgegevens’) moet dus snel worden gehandeld. De verwerkingsverantwoordelijke kan niet eerst wachten op bijvoorbeeld de resultaten van een compleet IT-forensisch onderzoek. De risico-inventarisatie naar de rechten en vrijheden van natuurlijke personen zal derhalve min of meer gelijktijdig met ander onderzoek moeten plaatsvinden.
Bij een datalek moeten meerdere acties tegelijk worden verricht en soms moeilijke afwegingen worden gemaakt. Het is daarom sterk aan te raden om van tevoren een ‘incident response plan’ op te stellen. Zie daarover ook deze blog.
In de verschillende voorbeelden in de Richtlijn komt een aantal bij de risicoanalyse mee te wegen factoren goed naar voren. Denk daarbij aan (onder andere):
- De aard van het bedrijf;
- De aard van de verwerkte gegevens;
- Zijn de gegevens daadwerkelijk bemachtigd?
- De hoeveelheid getroffen gegevens;
- Bij verkeerd verstuurde post: de aard van en relatie met de ontvangende partij (bijv. een partij met beroepsgeheim);
- De duur van het incident en de gevolgen daarvan voor de betrokkenen;
- De getroffen voorzorgsmaatregelen.
Voorzorgsmaatregelen
Een andere verplichting uit de AVG is het treffen van voorzorgsmaatregelen waarmee inbreuken op de persoonsgegevens zoveel mogelijk worden voorkomen. De mate waarin voorzorgsmaatregelen zijn getroffen weegt ook mee in de risicoanalyse die na een datalek moet worden uitgevoerd. De verwerkingsverantwoordelijke moet ‘passende technische en organisatorische maatregelen’ treffen, waarbij rekening wordt gehouden met de aard, omvang, context en doel van de verwerking en de mate waarin de verwerking van persoonsgegevens een risico inhoudt voor de betrokkenen. Gelet op de gevoeligheid van de aard van bijvoorbeeld medische gegevens, zal een ziekenhuis dus meer maatregelen moeten treffen dan een bedrijf in de agrarische sector dat enkel met namen en adressen werkt.
De EDPB doet een aantal aanbevelingen voor te treffen maatregelen, zoals:
- Zorg ervoor dat uw systemen, software en firmware up to date blijven. Maak dit bovendien aantoonbaar door een logboek bij te houden van de doorgevoerde updates en patches;
- Zorg voor geïsoleerde systemen door digitale ‘schotten’ in te bouwen;
- Zorg voor een up to date, beveiligd en getest back-upysteem;
- Zorg voor passende en up to date antimalware/antivirus software en firewalls;
- Train uw medewerkers zodat zij cyberaanvallen herkennen en direct aan de juiste persoon kunnen melden;
- Zorg voor een adequate logging;
- Zorg voor sterke encryptie en authenticatie (multifactor);
- Zorg voor een wachtwoordenbeleid;
- Voer regelmatig pentesten uit;
- Richt een Computer Emergency Response Team (CERT) op of zoek aansluiting bij een collectieve CERT;
- Stel een incident response plan op;
- Evalueer de bestaande maatregelen regelmatig en pas aan waar nodig.
Vragen?
Heeft u vragen over datalekken, cyberincidenten, voorzorgsmaatregelen of incident response? Neem dan contact op met Nynke Brouwer.
