STAP 10 - Voorzie een procedure voor gegevenslekken
Men spreekt dan van een gegevenslek (of datalek). Aangezien de GDPR een aantal verplichtingen oplegt in het geval er zich een gegevenslek voordoet, kan het – zeker in de grotere praktijken – aangewezen zijn dat u een interne procedure uitwerkt waarin u beschrijft wat door wie en wanneer moet worden gedaan bij zo’n gegevenslek.
Wat is een gegevenslek?
Preventief – richtlijnen om gegevenslekken te vermijden
Procedure bij gegevenslekken – interne informatie
Procedure bij gegevenslekken – Crisisteam
Register van gegevenslekken
Melding aan de Gegevensbeschermingsautoriteit en de betrokkene
Wat is een gegevenslek?
Een gegevenslek wordt ruim opgevat. Het wordt door de GDPR omschreven als “een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Het gaat dus bijvoorbeeld om:
- de onbeschikbaarheid van gegevens, als gevolg van een actie van ransomware (“gijzelen” van gegevens in ruil voor losgeld);
- het schenden van de integriteit, als gevolg van een ongeoorloofde wijziging van gegevens;
- het schenden van de vertrouwelijkheid van gegevens, als gevolg van het meedelen of ter beschikking stellen van gegevens aan personen die daartoe niet gerechtigd of gemachtigd zijn. Dit kan zowel per ongeluk (een verkeerde manipulatie van gegevens) als onrechtmatig (een gevolg van een computerinbraak) zijn. Hetzelfde geldt voor een medewerker die toegang krijgt tot patiëntengegevens, terwijl hij daar eigenlijk geen toegang mocht toe hebben;
- het verlies van persoonsgegevens.
terug
Preventief – richtlijnen om gegevenslekken te vermijden
Elke verwerkingsverantwoordelijke moet ervoor zorgen dat de medewerkers worden gesensibiliseerd om te zorgen voor een voldoende beveiliging. Dit houdt in dat er richtlijnen worden opgesteld en op geregelde tijdstippen aan die richtlijnen wordt herinnerd (zie Stap 8).
Procedure bij gegevenslekken – interne informatie
Medewerkers moeten weten wat er moet gebeuren wanneer er zich een gegevenslek voordoet. Dat houdt met name in dat er o.a. wordt aangegeven wanneer en tot wie (welke dienst of persoon) medewerkers zich moeten richten als ze bepaalde gegevensdragers verliezen, als systemen onbeschikbaar zijn of worden, enz.
Procedure bij gegevenslekken – Crisisteam
Bij grotere partijken wordt er best een soort van “crisisteam” ingesteld. Dit team moet beoordelen of het gegevenslek risico’s inhoudt en dus al dan niet moet worden gemeld aan de toezichthouder.
Van dit “crisisteam” maken best deel uit: de verwerkingsverantwoordelijke (of de sleutelfiguur binnen de praktijk), de verantwoordelijke van de IT-afdeling of de IT-partner, de persoon die fungeert als aanspreekpunt voor de toezichthouder.
Register van gegevenslekken
De GDPR bevat de verplichting om alle inbreuken in verband met persoonsgegevens te documenteren. Dit komt neer op het opmaken van een register van alle gegevenslekken, ongeacht het risico dat eraan verbonden is. Op die manier kan de toezichthoudende autoriteit, bij een latere controle, nagaan of de verantwoordelijke de verplichting tot het melden en meedelen van lekken wel op een correcte manier toepast.
Zo’n register moet ook de gegevenslekken vermelden die niet leiden tot een risico en dus niet aan de toezichthouder gemeld of aan de betrokkene meegedeeld moeten worden. Een modelregister kan u hier downloaden.
Melding aan de Gegevensbeschermingsautoriteit en de betrokkene
Bij elk gegevenslek moet u analyseren of het lek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Is dat niet het geval, dan volstaat een melding in uw interne register.
Is er wel een risico, dan moet u het gegevenslek binnen de 72 uur melden aan de Gegevensbeschermingsautoriteit via een speciaal formulier.
Houdt het gegevenslek een hoog risico in voor de rechten en vrijheden van de betrokkenen, dan moet u dit lek tevens onmiddellijk aan de betrokkene zelf melden.