logo VTC

Vlaamse Toezichtcommissie
voor de verwerking van persoonsgegevens

Logo Vlaamse leeuw

 

Meldingen inbreuken i.v.m. persoonsgegevens

1. Wat is een inbreuk i.v.m. persoonsgegevens?
2. Moeten alle inbreuken i.v.m. persoonsgegevens verplicht gemeld worden?
3. Welke inbreuken i.v.m. persoonsgegevens moeten niet verplicht gemeld worden?
4. Wie moet een inbreuk ivm persoonsgegevens melden bij de VTC?
5. Hoe moet een inbreuk ivm persoonsgegevens gemeld worden bij de VTC?
6. Binnen welke termijn moet de melding gebeuren?
7. Moet elke inbreuk ivm persoonsgegevens aan de betrokkenen worden ter kennis gegeven?
8. Wat moet de kennisgeving aan de betrokkenen inhouden?

Algemene richtlijnen bij inbreuken ivm persoonsgegevens of cybersecurity incidenten

9. Preventieve tips om uw organisatie weerbaar te maken voor inbreuken ivm persoonsgegevens of cybersecurity incidenten
10. Wat moet ik doen wanneer ik een cybersecurity incident vaststel in mijn organisatie?





1. Wat is een inbreuk i.v.m. persoonsgegevens?

De Algemene Verordening Gegevensbescherming (AVG) spreekt over een ‘inbreuk in verband met persoonsgegevens’. Het gaat om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

Categorieën inbreuken (WP 29 Richtlijnen voor melding inbreuk i.v.m. persoonsgegevens)

Er zijn drie categorieën (aard van een inbreuk):

    • Inbreuk op de vertrouwelijkheid
      bijvoorbeeld: een onbevoegde of onopzettelijke  verspreiding van, of toegang tot, persoonsgegevens.
    • Inbreuk op de integriteit
      bijvoorbeeld: een onbevoegde of onopzettelijke wijziging of vervalsing van persoonsgegevens.
    • Inbreuk op de beschikbaarheid
      bijvoorbeeld: een onbevoegd of onopzettelijk verlies of vernietiging van persoonsgegevens.

Een inbreuk kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
Voorbeelden van inbreuken zijn:

    • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
    • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
    • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
terug naar boven

 

2. Moeten alle inbreuken i.v.m. persoonsgegevens verplicht gemeld worden?

Nee. U hoeft een gegevenslek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.
De aanbeveling van de WP 29 (in het bijzonder hoofdstuk IV) hierover, kan u helpen te bepalen of u een gegevenslek moet melden. Momenteel is er nog geen officiële Nederlandse vertaling beschikbaar.

terug naar boven

 

3. Welke inbreuken i.v.m. persoonsgegevens moeten niet verplicht gemeld worden?

Naast het geval dat de omstandigheden uitwijzen dat de inbreuk de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Autoriteit niet hoeft in te lichten over het gegevenslek:
- wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
- wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100)  getroffen is EN geen gevoelige gegevens >> bijzondere categorie van persoonsgegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.
In geval van twijfel doet de verantwoordelijke toch best een melding bij de VTC.
Zelfs indien de verwerkingsverantwoordelijke de inbreuk niet meldt bij de VTC, is het aangewezen een logboek bij te houden met een korte beschrijving van elke inbreuk en een verklaring voor het niet-melden ervan.

terug naar boven

 

4. Wie moet een inbreuk ivm persoonsgegevens melden bij de VTC?

De VTC is als toezichthoudende autoriteit voor de verwerking van persoonsgegevens verantwoordelijk voor het toezicht op de toepassing van de algemene verordening gegevensbescherming door de Vlaamse instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.

Op deze pagina vindt u een overzicht dat kan helpen bij het uitzoeken of uw organisatie een Vlaamse instantie is.

Meldingen in andere organisaties en melding van gegevenslekken in de telecomsector dienen gemeld te worden bij de GBA: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-telecom

terug naar boven

 

5. Hoe moet een inbreuk ivm persoonsgegevens gemeld worden bij de VTC?

U kunt de melding doen via het aanmeldingsformulier in te vullen en te mailen naar toezichtcommissie@vlaanderen.be
Een inbreuk kan volledig gemeld worden of, in het geval het verder onderzoek vergt, in twee delen worden gemeld:
- voormelding aan de VTC binnen de 72 uur;
- volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.

MELDFORMULIER (word, 87 kb) (pdf document, 289 kb)

 

terug naar boven

 

6. Binnen welke termijn moet de melding gebeuren?

De meldingstermijn bedraagt in principe uiterlijk binnen 72 uur nadat de inbreuk werd vastgesteld. Als de verantwoordelijke voor de gegevensverwerking in eerste instantie over weinig of geen informatie beschikt, kan hij de melding wel in twee fasen opdelen:
- voormelding aan de VTC binnen de 72 uur;
- volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.

i

terug naar boven

 

7. Moet elke inbreuk ivm persoonsgegevens aan de betrokkenen worden ter kennis gegeven?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.
De aanbeveling van de WP 29 (in het bijzonder hoofdstukken III en IV), kan u helpen te bepalen of u de betrokkenen over een inbreuk moet informeren. Momenteel is er nog geen officiële Nederlandse vertaling beschikbaar.

7. Wat moet de kennisgeving aan de betrokkenen inhouden?

terug naar boven

 

8. Wat moet de kennisgeving aan de betrokkenen inhouden?

De verantwoordelijke voor de gegevensverwerking meldt de inbreuk aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.
Opmerking: uit AVG (artikel 34, lid 2, AVG): De kennisgeving aan de betrokken personen bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste volgende elementen:
- naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder in voorkomend geval de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Opmerking: Website GBA: is in duidelijke taal opgesteld en is makkelijk te begrijpen. Het wordt aanbevolen  beveelt aan om tenminste de hiernavolgende informatie verstrekken:

  • naam van de verantwoordelijke voor de gegevensverwerking,
  • contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen,
  • samenvatting van het incident dat de persoonsgegevens heeft aangetast,
  • vermoedelijke datum van het incident,
  • aard en strekking van de betrokken persoonsgegevens,
  • denkbare gevolgen van het gegevenslek voor de betrokken personen,
  • omstandigheden waaronder het gegevenslek plaatsvond,
  • de maatregelen die de verantwoordelijke heeft genomen om dit gegevenslek te verhelpen,
  • de maatregelen die de verantwoordelijke aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.
terug naar boven

 

Algemene richtlijnen bij inbreuken ivm persoonsgegevens of cybersecurity incidenten

9. Preventieve tips om uw organisatie weerbaar te maken voor inbreuken ivm persoonsgegevens of cybersecurity incidenten

- Stel algemene ICT gebruiksrichtlijn op
 ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid

- Stel ICT veiligheidsverantwoordelijke aan
 Bewustmaking & controle van de toepassing

- Bereid ICT-incidentendossier voor met :

  • plan van architectuur/ toepassingen/ databanken/interconnecties
  • Namen / tel / gsm van verantwoordelijke systeem /DB/toep
  •  Namen+ tel / gsm leveranciers HW / SW / Maintenance/BU
  • Tel Cert.be
  • Tel + permanentienummer FCCU

Ook volgende aandachtspunten:

    • Wees duidelijk in outsourcing van maintenance: rapportering van alle interventies op afstand
    • Scherm bedrijfskritische systemen/toepassingen / data af van op Internet aangesloten netwerken !
    • Installeer recente Antivirus ; Firewall en actualiseer
    • Synchroniseer de systeemklokregelmatig
    • Activeer en controleer loggings IN en OUT
    • Voer audits uit op loggings
    • Maak en test backups en bewaar ze veilig!

Instanties moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.
De brochure van Cyber Security Coalition kan tot inspiratie dienen  link toevoegen

terug naar boven

 

10. Wat moet ik doen wanneer ik een cybersecurity incident vaststel in mijn organisatie?

Wettelijk werken – respect wetten & CAO 81

  • Finaliteit (misdrijven, economisch & financieel belang, ICT-veiligheid, gebruikersregels)
  • Proportionaliteit (minimale inbreuk op privacy, in fases)
  • Transparantie (op basis van duidelijke policy)

Diagnose stellen / oorzaak & sporen vinden
Bewijsmateriaal integer bewaren

  •  Integraal, ongewijzigd met garantie

Noodzaak om specialisten in te schakelen

  • Zeker van klacht →politie
  • Zo niet →Cert.be (zie verder)

Bij ontvangst dreigingen

  •  reageer snel… maar niet naar afperser
  •  bewaar berichten in originele (digitale vorm)
  •  contacteer politie

Bij effectieve incidenten:

  •  Verbreek verbinding (indien niet door aanvaller veroorzaakt)
  •  Log maximaal informatie inzake laatste ICT activiteit/tijdstip
  •  Vermijd actie op het systeem (sporen aanvaller)
  •  beveilig fysiek het systeem
  •  beperk de interne communicatie tot noodzakelijke
  •  Dien klacht in bij politie of parket

Het is aangeraden het incident te melden bij CERT in geval van malware, een inbraak in uw website of netwerk, DDoS-aanval, botnet, phishing of een ander cyberbeveiligingsincident: https://www.cert.be/nl/een-incident-melden.html
U kan een klacht indienen bij de politie: http://www.lokalepolitie.be/5415/vragen/criminaliteit-op-internet/internetcriminaliteit
U dient, conform de Algemene Verordening Gegevensbescherming, de inbreuk te melden bij de VTC. Deze verplichting geldt voor alle instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.

Instanties moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.
De brochure van Cyber Security Coalition kan tot inspiratie dienen  

 

terug naar boven