MELDING VAN EEN INBREUK IN VERBAND MET PERSOONSGEGEVENS

Allereest moeten we onszelf afvragen: Wat is een beveiligingsinbreuk in verband met persoonsgegevens? Een beveiligingsinbreuk in verband met persoonsgegevens is een beveiligingsincident dat persoonsgegevens aantast. Een dergelijk incident kan een toevallige of opzettelijke oorsprong hebben en kan eveneens digitale als op papier verwerkte gegevens aantasten. In het algemeen is een dergelijke inbreuk succesvol wanneer het de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens heeft veroorzaakt.

De AVG heeft in artikelen 33 en 34 de verplichtingen vastgelegd voor ondernemingen die verantwoordelijk zijn voor verwerking. Zij moeten de bevoegde toezichthoudende autoriteit op de hoogte brengen van beveiligingsinbreuken die schade kunnen veroorzaken ten aanzien van mensen. Indien deze schade ernstig zou zijn, dan dienen zij deze beveiligingsinbreuk ook te melden de mensen wiens gegevens zijn aangetast.

In overeenstemming met artikelen 33 en 34 van de AVG, moet de verwerkingsverantwoordelijke de volgende stappen overlopen:

  1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
  1. De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
  1. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

  1. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
  1. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.

Ongeacht moet de verwerkingsverantwoordelijke voorzien in een plan van aanpak, specifieke taken die het mogelijk maken de kloof te dichten, de minimalisatie van de gevolgen en voorkomen dat het zich in de toekomst kan herhalen.

Bovendien moet er bij een beveiligingsinbreuk een reeks van gegevens worden verzameld die nuttig zijn voor de bepaling van de te nemen maatregelen en die beoordelen of het nodig is om de toezichthoudende autoriteit en de betrokkenen in te lichten over dergelijke inbreuk.