Gedaan met laden. U bevindt zich op: Gegevenslek melden Verplichtingen bij het verwerken van persoonsgegevens

Gegevenslek melden

Met ingang van 25 mei 2018 geldt een meldplicht voor gegevenslekken. Deze meldplicht houdt in dat Vlaamse instanties binnen de 72 uur en zonder onredelijke vertraging een melding moeten doen bij de Vlaamse Toezichtcommissie zodra er een risico bestaat voor de fundamentele rechten en vrijheden van de betrokkenen (de mensen van wie de persoonsgegevens zijn). Soms moeten zij het gegevenslek ook meedelen aan de betrokkenen zelf.

Wat te doen bij een inbreuk

  • Stap 1

    Inbreuk vastgesteld

    De Algemene Verordening Gegevensbescherming (AVG) spreekt over een ‘inbreuk in verband met persoonsgegevens’. Het gaat om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

    Ook onbeschikbaarheid van gegegevens vormt een “datalek”.

    WP 29 Richtlijnen voor melding inbreuk in verband met persoonsgegevens
  • Stap 2

    Inbreuk melden

    • Welke inbreuken moeten gemeld worden?

      • U hoeft een gegevenslek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.
        De aanbeveling van de WP 29(opent in nieuw venster) (in het bijzonder hoofdstuk IV) hierover, kan u helpen te bepalen of u een gegevenslek moet melden.
      • Naast het geval dat de omstandigheden uitwijzen dat de inbreuk de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Vlaamse Toezichtcommissie niet hoeft in te lichten over het gegevenslek:
        • wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
        • wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100) getroffen is EN geen gevoelige gegevens » bijzondere categorie van persoonsgegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.

      Zelfs indien de verwerkingsverantwoordelijke de inbreuk niet meldt bij de VTC, is het aangewezen een logboek bij te houden met een korte beschrijving van elke inbreuk en een verklaring voor het niet-melden ervan.

      In geval van twijfel doet de verantwoordelijke toch best een melding bij de VTC.

    • Wie moet een inbreuk melden bij de VTC?

      De VTC is als toezichthoudende autoriteit voor de verwerking van persoonsgegevens verantwoordelijk voor het toezicht op de toepassing van de algemene verordening gegevensbescherming door de Vlaamse instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.

      Gegevenslekken in andere organisaties en melding van gegevenslekken in de telecomsector dienen gemeld te worden bij de Gegevensbeschermingsautoriteit(opent in nieuw venster).

    • Hoe moet een inbreuk gemeld worden bij de VTC?

      U kunt de melding doen via het aanmeldingsformulier(Word bestand opent in nieuw venster) (versie 2.4 oktober 2024) in te vullen en door de leidend ambtenaar te laten mailen naar contact@toezichtcommissie.be(opent in uw e-mail applicatie) binnen 72 uur nadat de inbreuk werd vastgesteld.

      Een inbreuk kan volledig gemeld worden of, in het geval het verder onderzoek vergt, in twee delen worden gemeld:

      • voormelding aan de VTC binnen de 72 uur;
      • volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.

      Deze vragenlijst volstaat als melding van een inbreuk i.v.m. persoonsgegevens aan de VTC. Maar indien nodig blijkt, zal de VTC verdere vragen voorleggen.

      Gebruik geen namen of andere identificatiegegevens (zoals bv. rijksregisternummer etc) om het incident te beschrijven.

  • Stap 3

    Kennis geven aan betrokkenen

    Niet elke inbreuk moet aan de betrokkenen worden ter kennis gegeven.

    U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. De aanbeveling van de WP 29(opent in nieuw venster) (in het bijzonder hoofdstukken III en IV), kan u helpen te bepalen of u de betrokkenen over een inbreuk moet informeren.

Maatregelen VTC

Op basis van artikel 58, 2 van de AVG kan de VTC volgende maatregelen opleggen:

  • waarschuwen (a)
  • berispen (b)*
  • gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten in te willigen ©
  • gelasten de verwerking in overeenstemming te brengen met de AVG (d)
  • gelasten de inbreuk aan de betrokkenen mee te delen €
  • een tijdelijke verwerkingsbeperking opleggen (f)
  • een tijdelijk verbod opleggen (f)
  • een definitieve verwerkingsbeperking opleggen (f)
  • een definitief verwerkingsverbod opleggen (f)
  • gelasen de persoonsgegevens te rectificeren (g)
  • gelasten de persoonsgegevens te wissen (g)
  • gelasten de verwerking te beperken (g)

De VTC spreekt in principe van zodra er sprake is van een datalek een berisping uit omdat een lek betekent dat er iets misgelopen is en de VTC wil aansturen op verbetering van het omgaan met persoonsgegevens.

Er worden ook maatregelen opgelegd als het louter om een fout van de verwerker gaat aangezien de verwerkingsverantwoordelijke verantwoordelijk is voor wat de verwerker doet.

De VTC kan pas een beslissing nemen als ze voldoende informatie heeft ontvangen. Dit kan soms enkele maanden duren.

Gemelde gegevenslekken

Hier vindt u het overzicht van reeds gemelde gegevenslekken aan de Vlaamse Toezichtcommissie samen met de remediërende en preventieve maatregelen die de verwerkingsverantwoordelijken zelf namen.

Algemene richtlijnen

Algemene richtlijnen bij inbreuken in verband met persoonsgegevens of cybersecurity incidenten