Een datalek melden onder de GDPR wetgeving?

2 maanden voor het ingaan van de GDPR wetgeving word ik nu dagelijks bedolven onder vragen van KMO’s en freelancers. Iedereen is duidelijk wakker geworden.

Ook voor mij zijn vele praktische zaken nog steeds niet 100% duidelijk en ik ben dan ook zeer benieuwd hoe alles in de praktijk gaat verlopen.

1 van deze punten is de zogenaamde datalekmeldplicht (data breach notifications), dat binnen de 72u gaat moeten gebeuren (hallo verlengde weekends). Het opstellen van een plan van aanpak bij een datalek is dan ook belangrijk in dit kader.

Enja momenteel is het elke dag wel van…

Data breach hier, data breach daar …

— Dries Bultynck 🇧🇪🇪🇺 (@DriesBultynck) April 4, 2018

Huidige stand van zaken in België?

De Belgische Gegevensbeschermingsautoriteis heeft een specifieke pagina voor de melding van een datalek gemaakt. Ik heb deze 2 maanden geleden (samen met een klant) gedaan en laat ons stellen, dat de gebruiksvriendelijkheid te wensen overlaat.

Zo ben je vertrokken met een beveiligde PDF, die enkel opent op Mac in de officiële Adobe Acrobat Reader (dus niet in de standaard Mac viewer). Dus speciaal voor deze melding Acrobat Reader moeten downloaden (download van 175MB die nadien 500MB is gaan innemen).

Na deze installatie waren er dan 10 pagina’s aan invulvragen die stonden te wachten. Een mooi werkje van enkele uren om alles goed te verwoorden en valideren…

Ook in Frankrijk zitten we nog met eenzelfde situatie, al beloven ze daar tegen mei 2018 een online formulier op de website van de CNIL.

Binnen de week heeft de CBPL trouwens wel een antwoord gestuurd op onze vrijwillige melding van een datalek met bijkomende vragen.

Hoe pakken ze het aan in Nederland?

In Nederland is er reeds sinds januari 2016 een meldplicht voor datalekken en hiervoor hebben ze dan ook een eenvoudig online formuliertje. 

Afgelopen week heeft de Autoriteit Persoonsgegevens in Nederland hun statistieken voor 2017 gedeeld en daaruit blijkt dat er maar liefst 10.000 datalekken zijn aangegeven (logisch met dergelijk eenvoudig formulier).

Als we dit naar een 250 werkdagen/jaar omrekenen, dan zitten ze daar dus op 40 datalekmeldingen/DAG. Reken maar uit welk aantal werknemers je hiervoor nodig hebt voor al die verwerkingen en controles… Enja iedereen kan al eens een datalek hebben.🙈

Als gevolg van deze toevloed aan werk heeft de Nederlandse DPA (Data Protection Authority), dan ook een budgetverhoging gekregen tot bijna 15 miljoen EUR in 2019. In België blijft dit op 7 miljoen EUR hangen (want het moet budgetneutraal 🤔🙄).

Al ben ik nog wel benieuwd wat dat onderzoek naar het datalek bij Uber heeft opgeleverd (daar Uber fiscaal gezien in NL zit) of is dit mooi toegedekt?

Datalek/databreach procedure uitwerken

Zelf ben ik deze weken ook bezig met het uitwerken van juiste datalek procedures (zeker daar je maar 72uur de tijd hebt na vaststelling).

Belangrijke tips:

• Als je geen DPO hebt (of deze is op vakantie), wie is dan de verantwoordelijke voor de melding?
• Wie wordt verwittigd (en via welk escalatiepad) intern en/of extern?
• Hebben we van onze leveranciers nood contactnummers?
• Welke risicoimpact is er mogelijk en hoe zal deze worden ingeschat?
• Onder welke DPA vallen we eigenlijk? Moeten we het aangeven in België of in Nederland? Zoja, ga nu reeds nakijken hoe de aangifte werkt.
• Duidelijke richtlijnen om ALLES te documenteren wat je tegenkomt. Ga niet als een dolle (digitale) sporen gaan wissen door onbezonnen acties.
• Lees zeker het IT projectmanagementboek “The Phoenix Project” waarin ook noodprocedures aan bod komen en hoe je dit moet aanpakken.
• Denk ook aan communicatie naar je gebruikers/klanten. Via welk medium ga je de communicatie doen (en wat als je website niet bereikbaar is?).