3 cruciale stappen om te zetten bij een datalek

Jouw kmo beschermt de persoonsgegevens van onder meer klanten en medewerkers volgens de Algemene Verordening Gegevensbescherming (AVG of GDPR). Maar wat als het toch nog misloopt? De advocaten van ARTES vatten in een handige EHBO-kit de belangrijkste stappen samen die je moet nemen in geval van een datalek.

Vorig jaar nog werden de gegevens van 3 miljoen Belgen openbaar gemaakt na een datalek bij Facebook. Als het zelfs bij zo’n grote organisatie kan gebeuren, valt een inbreuk bij jouw kmo jammer genoeg niet uit te sluiten. Advocatenkantoor ARTES (onder andere gespecialiseerd in gegevensbescherming en datasecurity) legt aan de hand van een EHBO-kit uit wat je kan en moet ondernemen na een datalek.

Meer weten over wat te doen bij een datalek? Neem contact op met ARTES.

Hoe kan ik een datalek voorkomen?

De oorzaak van een datalek kan variëren van een georganiseerde cyberaanval (hacking) tot het verlies van een usb-stick, laptop of id-badge. De AVG verplicht eenieder die persoonsgegevens verwerkt om passende beveiligingsmaatregelen te nemen. Die situeren zich enerzijds op technisch niveau (data-encryptie, back-ups, antivirus, pseudonimisering…) en anderzijds op organisatorisch vlak (opleiding, security policy, beperkte toegang tot data…). Besteedt jouw kmo, als verwerkingsverantwoordelijke, de verwerking van persoonsgegevens uit aan een derde, dan zal die derde optreden als verwerker waarmee contractuele afspraken zullen moeten worden gemaakt omtrent diens specifieke taken.

Je kan ook een functionaris voor gegevensbescherming aanstellen en in sommige gevallen, veelal niet van toepassing op kmo’s, zal dit zelfs verplicht zijn.

Wat te doen bij een datalek?

Bij een datalek moet je als verwerkingsverantwoordelijke eerst het risico op een schending van de rechten en vrijheden van de betrokken personen beoordelen. Vervolgens pak je het datalek aan volgens de verplichtingen van de AVG

1. Meld het datalek zonder onredelijke vertraging en (indien mogelijk) uiterlijk binnen 72 uur na kennisname aan de toezichthoudende autoriteit (de Gegevensbeschermingsautoriteit GBA). Gebruik daarvoor het specifieke formulier op de GBA-webapplicatie. Enkel wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal deze meldingsplicht niet bestaan.
2. Houdt het gegevenslek waarschijnlijk wel een hoog risico in voor de rechten en vrijheden van natuurlijke personen? Deel dit dan onverwijld mee aan de betrokkenen van wie de persoonsgegevens zijn gelekt.
3. Elk gegevenslek – risicovol of niet – zal moeten worden gedocumenteerd in een intern register. Zo zullen de feiten omtrent de inbreuk, de gevolgen ervan en de genomen corrigerende maatregelen moeten beschreven worden opdat de GBA bij een latere controle kan nagaan of de AVG werd nageleefd.

Wat zijn de mogelijke indirecte gevolgen?

Een datalek kan naast imago- of reputatieschade ook materiële schade veroorzaken voor jouw kmo en zelf mogelijke juridische gevolgen hebben. De toezichthoudende autoriteit kan je bijvoorbeeld administratieve boetes opleggen wegens nalatigheid wanneer er niet correct werd gehandeld. De betrokkenen kunnen jouw kmo op hun beurt aanspreken voor de vergoeding van de door hen geleden schade. Kortom, het is van cruciaal belang om de juiste preventieve maatregelen te nemen én correct te handelen wanneer er sprake is van een datalek.

Wil je meer vernemen over welke preventieve maatregelen je kan nemen en wat je moet doen in geval van een datalek? Neem contact op met het ARTES-team via mail (info@artes.law), of telefonisch +32 3 502 59 39 (kantoor Antwerpen) of +32 11 41 57 46 (kantoor Hasselt). Je kan ons ook bereiken via onderstaand formulier.