Artikel 33 GDPR vereist dat een verwerkingsverantwoordelijke zijn bevoegde toezichthoudende autoriteit melding maakt van een persoonlijk datalek zonder onnodige vertraging en, voor zover haalbaar, binnen 72 uur nadat hij er kennis van heeft genomen — indien het lek waarschijnlijk zal leiden tot een risico voor de rechten en vrijheden van natuurlijke personen. Het 72-uursvenster is een van de meest operationeel veeleisende nalevingsvereisten van de GDPR, omdat het begint op het moment dat de organisatie kennis krijgt van het lek, niet wanneer het lek zich heeft voorgedaan, en een melding vereist die, hoewel getrapt mogelijk indien niet alle informatie beschikbaar is, van het begin af aan specifieke voorgeschreven informatie dient te bevatten.
Een persoonlijk datalek is gedefinieerd in artikel 4, punt 12, als een inbreuk op de beveiliging die leidt tot de onbedoelde of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde bekendmaking van of de toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Dit bestrijkt een breed scala aan incidenten: een ransomware-aanval die persoonsgegevens versleutelt, een phishing-aanval waarbij inloggegevens worden gestolen en gebruikt om toegang te krijgen tot persoonsgegevens, een e-mail verzonden naar de verkeerde ontvanger met persoonsgegevens, een laptop of USB-stick met persoonsgegevens die verloren is gegaan of gestolen, een databasemisconfiguratie die persoonsgegevens blootstelt aan het internet, en een opzettelijke insiderexfiltratie van persoonsgegevens. Er is niet vereist dat gegevens zijn geëxfiltreerd of misbruikt — ongeoorloofde toegang tot of onbeschikbaarheid van persoonsgegevens volstaat.
Niet elk persoonlijk datalek vereist melding aan de toezichthoudende autoriteit. Melding is vereist wanneer het lek waarschijnlijk zal leiden tot een risico voor de rechten en vrijheden van natuurlijke personen. Een lek dat waarschijnlijk geen risico met zich meebrengt — bijvoorbeeld een onbedoelde verwijdering van versleutelde gegevens waarvoor een back-up bestaat — vereist geen melding aan de toezichthoudende autoriteit, maar dient nog steeds te worden gedocumenteerd in het interne lekregister van de organisatie op grond van artikel 33, lid 5.
Wanneer het lek waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van natuurlijke personen — een hogere drempel — vereist artikel 34 bovendien directe kennisgeving aan de betrokken personen zonder onnodige vertraging. Een hoog risico wordt beoordeeld aan de hand van de aard van de betrokken gegevens, de omvang van het lek, de waarschijnlijkheid dat de gegevens worden misbruikt, en de kwetsbaarheid van de getroffen personen. Lekken die financiële gegevens, gezondheidsgegevens, identiteitsdocumenten, wachtwoorden of biometrische gegevens betreffen, voldoen het meest waarschijnlijk aan de hoge-risicodrempel.
Artikel 33, lid 3, specificeert de inhoud van de melding aan de toezichthoudende autoriteit: een beschrijving van de aard van het lek inclusief de categorieën en het geschatte aantal betrokken betrokkenen en records; de naam en contactgegevens van de FG of ander contactpunt; een beschrijving van de waarschijnlijke gevolgen van het lek; en een beschrijving van de maatregelen die zijn genomen of voorgesteld om het lek aan te pakken, inclusief maatregelen om de mogelijke nadelige gevolgen ervan te beperken.
Wanneer niet alle informatie binnen 72 uur beschikbaar is — wat gebruikelijk is in de vroege stadia van een beveiligingsincident — staat de GDPR een gefaseerde melding toe: een initiële melding binnen 72 uur met de op dat moment beschikbare informatie, gevolgd door aanvullende meldingen naarmate meer informatie beschikbaar komt. De initiële melding mag niet worden uitgesteld omdat het onderzoek onvolledig is: de verplichting om binnen 72 uur te melden staat vast ongeacht of het volledige beeld bekend is.
Organisaties die geen gedocumenteerd incidentresponsplan en een duidelijk meldingsprotocol hebben, verkeren in een aanzienlijk nadeel wanneer een lek zich voordoet. Het 72-uursvenster is extreem kort wanneer een organisatie tegelijkertijd een beveiligingsincident beheert, de reikwijdte van betrokken gegevens beoordeelt, forensisch experts inschakelt, en probeert de informatie te documenteren die vereist is voor de regelgevende melding. Best practice is: een vastgelegd escalatiepad van operationeel personeel naar de FG en senior management; een gedocumenteerd lekbeoordelingsprotocol; sjabloonmeldingsformulieren vooraf ingevuld met contactgegevens van de FG; en vooraf vastgestelde contactgegevens voor de bevoegde toezichthoudende autoriteit.
De aftelling begint wanneer de verwerkingsverantwoordelijke kennis krijgt van het lek. De EDPB-richtsnoeren verduidelijken dat een verwerkingsverantwoordelijke kennis krijgt wanneer hij met redelijke zekerheid weet dat een beveiligingsincident heeft plaatsgevonden dat heeft geleid tot de aantasting van persoonsgegevens. Dit vereist geen zekerheid over de volledige reikwijdte van het lek. Verwerkingsverantwoordelijken kunnen de meldingstermijn niet vermijden door opzettelijk een incident niet te onderzoeken waarvan zij reden hebben te vermoeden dat het heeft plaatsgevonden: opzettelijke onwetendheid stelt het bewustzijn niet uit.
Nee. Individuele kennisgeving is alleen vereist wanneer het lek waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van de betrokkenen — een hogere drempel dan de risicodrempel die melding aan de toezichthoudende autoriteit vereist. Wanneer een risico voor personen als laag of middelmatig wordt beoordeeld, kan melding aan de toezichthoudende autoriteit nog steeds vereist zijn, maar is individuele kennisgeving niet vereist.
Wanneer een persoonlijk datalek zich voordoet bij een verwerker, vereist artikel 33, lid 2, dat de verwerker de verwerkingsverantwoordelijke zonder onnodige vertraging na het kennis krijgen van het lek in kennis stelt. De verwerkingsverantwoordelijke draagt vervolgens de primaire verantwoordelijkheid voor het beoordelen van het lek en het melden bij de toezichthoudende autoriteit binnen 72 uur na zijn eigen kennisneming. Verwerkersovereenkomsten onder artikel 28 GDPR dienen verplichtingen voor verwerkers te bevatten om de verwerkingsverantwoordelijke tijdig van lekken op de hoogte te stellen.
Niet noodzakelijkerwijs. Een phishingpoging die werd gedetecteerd en geblokkeerd vóór inloggegevens waren gecompromitteerd of persoonsgegevens werden ingezien, is geen persoonlijk datalek. Echter, een succesvolle phishing-aanval waarbij de aanvaller geldige inloggegevens heeft verkregen en deze heeft gebruikt om toegang te krijgen tot persoonsgegevenssystemen is een lek, ook al lijkt er geen data te zijn geëxfiltreerd. Toegang tot persoonsgegevens door een onbevoegde partij is op zichzelf een persoonlijk datalek in de zin van artikel 4, punt 12, ongeacht wat de aanvaller vervolgens heeft gedaan.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
