Embedded Files
WANNEER IS ER EEN MELDPLICHT?
WANNEER IS ER EEN MELDPLICHT?
De meldplicht aan de Privacy Commissie geldt als er sprake is van een “risico voor de rechten en vrijheden van de betrokkene”. Het kan bijvoorbeeld gaan om een verlies van vertrouwelijkheid van een communicatie waardoor factuurgegevens, adressen,… tijdelijk zichtbaar zijn voor derden.
U hebt bovendien de verplichting om het gegevenslek mee te delen aan de betrokkene.
WIE MOET MELDEN BIJ DE PRIVACY COMMISSIE?
WIE MOET MELDEN BIJ DE PRIVACY COMMISSIE?
De melding moet gebeuren door de verwerkingsverantwoordelijke, of door de verwerker indien de verwerkingsverantwoordelijke hierover expliciet schriftelijke afspraken heeft gemaakt met de verwerker.
Dankzij de melding kan de Privacy Commissie het risico van het gegevenslek inschatten samen met de verwerkingsverantwoordelijke van de gelekte gegevens, en kan zij aanbevelingen doen over de reductie van het risico voor de betrokkene, het naleven van de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.
BINNEN WELKE TERMIJN?
BINNEN WELKE TERMIJN?
De meldingstermijn bedraagt maximaal 72 uur nadat het gegevenslek werd vastgesteld. Als de verwerkingsverantwoordelijke in eerste instantie over onvoldoende informatie beschikt om de aard van het probleem te onderzoeken, kan hij een eerste melding verrichten, en deze na onderzoek aanvullen met een bijkomende melding. Meer uitleg is te vinden in de handleiding bij het meldingsformulier.
AAN WIE?
AAN WIE?
In alle gevallen wordt de kennisgeving gericht aan de Privacy Commissie. Bovendien moet in sommige gevallen een kennisgeving worden verricht aan de betrokken personen, dus de personen van wie de gegevens gelekt zijn.
HOE GEBEURT DE KENNISGEVING AAN DE PRIVACY COMMISSIE?
HOE GEBEURT DE KENNISGEVING AAN DE PRIVACY COMMISSIE?
Omwille van de eenvoud gebeurt de kennisgeving aan de Privacy Commissie via een webformulier.
HOE MOET DE KENNISGEVING AAN DE BETROKKENEN GEBEUREN?
HOE MOET DE KENNISGEVING AAN DE BETROKKENEN GEBEUREN?
De verwerkingsverantwoordelijke meldt het gegevenslek aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.
De kennisgeving aan de betrokken personen is in duidelijke taal opgesteld en is makkelijk te begrijpen. De Privacy Commissie beveelt aan om tenminste de hiernavolgende informatie verstrekken:
· De aard van het probleem
· Een korte beschrijving welke gegevens zijn geïmpacteerd
· Een korte beschrijving welke maatregelen de verwerkingsverantwoordelijke heeft genomen om het probleem te verhelpen
· De mogelijke gevolgen van het gegevenslek voor de betrokken personen,
· Contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen (bijvoorbeeld de coördinaten van de DPO).
IN WELKE GEVALLEN MOET HET GEGEVENSLEK NIET AAN DE BETROKKENEN GEMELD WORDEN?
IN WELKE GEVALLEN MOET HET GEGEVENSLEK NIET AAN DE BETROKKENEN GEMELD WORDEN?
De DPM moet steeds worden betrokken bij elke aangelegenheid die de bescherming van persoonsgegevens betreft. Bij twijfel moet de DPM dus worden geconsulteerd over het al dan niet melden van het gegevenslek aan de betrokken personen.
IN WELKE GEVALLEN MOET HET GEGEVENSLEK NIET AAN DE PRIVACY COMMISSIE GEMELD WORDEN?
IN WELKE GEVALLEN MOET HET GEGEVENSLEK NIET AAN DE PRIVACY COMMISSIE GEMELD WORDEN?
Naast het geval dat de omstandigheden uitwijzen dat het gegevenslek de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verwerkingsverantwoordelijke de Privacy Commissie niet hoeft in te lichten over het gegevenslek:
wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100) getroffen is EN geen gevoelige gegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.
In geval van twijfel doet de verantwoordelijke toch best een melding bij de Privacy Commissie.
LOGGING VAN ELK INCIDENT
LOGGING VAN ELK INCIDENT
Zelfs indien de verwerkingsverantwoordelijke het gegevenslek niet meldt bij de Privacy Commissie, houdt hij best toch een logboek bij van incidenten. Dit bevat best een korte beschrijving van elk gegevenslek en een verklaring voor het niet-melden ervan.
Report abuse