In 2021 werd bijna 1 op de 8 Vlaamse bedrijven het slachtoffer van een cyberaanval. Bij zo’n aanval kunnen gevoelige bedrijfs- en klantengegevens gelekt worden. Wat is de impact van die gegevenslekken op de bedrijfsvoering binnen je organisatie? En met welke wettelijke verplichtingen moet je als ondernemer rekening houden?
Functie? Advocaat-vennoot,
Expertise? Intellectuele eigendomsrechten, ICT-recht (incl. recht op privacy)
Als advocaat gespecialiseerd in ICT-recht ziet Stijn Tutenel van CONSENSO advocaten heel wat ondernemingen worstelen met vragen over deze complexe materie. “De Algemene Verordening Gegevensbescherming (AVG) – beter bekend onder de Engelstalige term GDPR – schoot voorgoed uit de startblokken in mei 2018. Deze regelgeving verplicht elke onderneming om een veiligheidsbeleid op maat van mogelijke risico’s uit te werken. De AVG poneert immers het fundamentele beginsel van integriteit en vertrouwelijkheid bij het verwerken van persoonsgegevens, wat een verwijzing is naar de klassieke drie-eenheid binnen informatiebeveiliging, met name Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van gegevens.
“Omdat het verplicht uitwerken van een robuust veiligheidsbeleid impliciet vereist wordt onder de GDPR, zijn niet alle bedrijven – en zeker niet de kleinere – hiervan op de hoogte. Toch legt de GDPR, samen met de GBA (de Belgische gegevensbeschermingsautoriteit), de bal in het kamp van bedrijfsleiders bij de concrete uitwerking ervan. Dit in lijn met de verantwoordingsplicht onder de GDPR. Concreet moet men een risicoanalyse maken, om op basis hiervan verdere stappen te ondernemen voor een correcte beveiliging bij het verwerken van persoonsgegevens. De ISO-27.000-reeks – met praktijkaanbevelingen voor het beheer van informatiebeveiliging – fungeert hierbij vaak als leidraad, zeker wanneer het grote ondernemingen betreft.”
Ondanks deze inspanningen kunnen er nog steeds datalekken optreden. Stijn Tutenel verwijst naar een aantal verplichtingen die de GDPR oplegt wanneer er sprake is van een datalek, met name een documentatieplicht en een voorwaardelijke meldplicht aan de GBA en de betrokkenen.
“We onderscheiden drie categorieën datalekken: een inbreuk op de integriteit van de persoonsgegevens (bijvoorbeeld wanneer klantengegevens onjuist werden gewijzigd), op de vertrouwelijkheid van de persoonsgegevens (bijvoorbeeld wanneer medische gegevens onrechtmatig werden geraadpleegd) of op de beschikbaarheid van de persoonsgegevens (bijvoorbeeld wanneer gegevens verdwenen blijken te zijn). Zodra je zo’n datalek in je organisatie vaststelt, ben je gebonden door een documentatieplicht. Die plicht geldt weliswaar enkel als er persoonsgegevens betrokken zijn, en dus niet bij een louter beveiligingsincident waarbij geen persoonsgegevens betrokken zijn.
Bovendien moet je, vaak na een interne analyse, een dergelijk datalek melden aan de GBA, en soms zelfs aan alle betrokkenen. Deze meldplicht is aan strikte voorwaarden onderworpen. Stijn Tutenel: “Houd er bijvoorbeeld rekening mee dat je na het vaststellen van een datalek met een meldplicht aan de GBA in principe slechts 72 uur hebt om dit te melden aan de GBA, en dit nadat je er kennis van kreeg. Voor eventuele meldingen aan identificeerbare personen moet dit onverwijld gebeuren. Meldingen aan de GBA moet je doen via een verplicht modelformulier. De melding moet heel wat verplichte informatie bevatten, zoals de aard van het lek, de categorieën van betrokkenen, de categorieën van persoonsgegevens, de gevolgen van het datalek en de genomen maatregelen naar aanleiding van het datalek. Ook voor meldingen aan betrokkenen zijn er specifieke verplichtingen opgelegd onder de GDPR.”
“Het is evident dat de impact van een datalek afhankelijk is van de concrete omstandigheden. Zo zal een datalek met medische of financiële gegevens doorgaans meer risico’s met zich mee brengen dan bijvoorbeeld een lek waarbij louter identificatiegegevens betrokken zijn. In functie van de analyse die men steeds moet maken naar aanleiding van een datalek, zullen er dus mogelijk verschillende verplichtingen nageleefd moeten worden.”
In elk geval is het cruciaal om werk te maken van een robuust veiligheidsbeleid, omdat een datalek reputatieschade kan veroorzaken. De GBA kan bovendien sancties opleggen. “De lichtste sancties zijn een waarschuwing of berisping”, zegt Stijn Tutenel. “Maar bij zwaardere inbreuken in verband met het melden van datalekken kunnen ondernemingen zelfs een boete opgelegd krijgen van 10 miljoen euro of 2% van de jaaromzet.”
CONSENSO advocaten
Neem vrijblijvend contact op via 089 32 29 10
