GDPR, Gevoelige gegevens, GDPR

Help! Mijn data lekt…

28 januari 2022

Sinds de inwerkingtreding van de GDPR is er meer aandacht voor persoonsgegevens en de bescherming ervan. Helaas bestaan er ook mensen die er hun beroep van hebben gemaakt om persoonsgegevens te stelen met het oog op het verkrijgen van losgeld.

Meestal gaat men als volgt te werk: hackers versleutelen voor uw bedrijf essentiële gegevens. In ruil voor de sleutel verzoeken zij aan het bedrijf om een som geld te betalen.

Bovenstaande situatie wordt in de GDPR omschreven als een “data breach” of een gegevenslek. Om van een gegevenslek te kunnen spreken, moet het gaan om een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of tot de ongeoorloofde verstrekking van of toegang tot persoonsgegevens.

Wat doet u best wanneer u wordt geconfronteerd met dergelijke inbreuk?

1. Stop de aanval en dicht het lek

U gaat in de eerste plaats de aandacht richten op het lek zelf. Dit gaat u doen op basis van de bestaande ‘data breach policy’. Indien uw bedrijf dit nog niet heeft, kan u een kijkje nemen op de ledenafdeling van onze website waar u een model van dergelijke policy vindt.

Het spreekt voor zich dat u gaat trachten om de aanval te stoppen, om het lek te dichten en om nadien verder onderzoek te doen. Dit onderzoek zal in de eerste plaats dienen om na te gaan welke gegevens er buit werden gemaakt en hoe de aanval is kunnen gebeuren. Dit onderzoek gaat u best samen met specialisten uitvoeren, zoals uw IT-dienst.

Wat u best niet doet, is losgeld betalen om de gegevens terug te krijgen.

• Bouw uw (juridisch) dossier op

Dien een klacht in bij de politie. Dit kan nuttig zijn omdat zij een aantal onderzoeksdaden kunnen stellen die u kunnen helpen om de omvang en de reikwijdte van de aanval vast te stellen.

De kans bestaat dat de aanval werd ingezet of afkomstig is van bij één van uw dienstverleners, zoals een externe IT-dienst of een bedrijf dat uw werknemers van maaltijdcheques voorziet. In dat geval dient u de aansprakelijkheden in kaart te brengen door het verzamelen van bewijsmateriaal.

Het volgende dat dient te worden onderzocht, is de omvang van de door uw bedrijf geleden schade.

Van zodra u beschikt over de nodige informatie over de verantwoordelijkheid voor de aanval en de door u geleden schade, kan u de verantwoordelijke partij in gebreke te stellen zodat u de schade op die partij kan trachten te verhalen.  

• Inlichten diverse partijen

Vervolgens dient u een aantal partijen in te lichten.

Als eerste verwittigt u uw werknemers. Zo is het goed mogelijk dat zij ten gevolge van de aanval geen gebruik meer kunnen of mogen maken van een bepaalde software.

Indien u een cyberverzekering heeft, dient u die uiteraard in te lichten van een datalek.

Vervolgens gaat u nakijken welke verplichtingen u heeft in het kader van de GDPR.

De regelgeving legt namelijk op dat u een datalek dient te melden bij de Gegevensbeschermingsautoriteit (GBA), tenzij het niet waarschijnlijk is dat het gegevenslek een “risico” inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit houdt in dat u een risicobeoordeling zal moeten doen van het gegevenslek. Voor het uitvoeren van dergelijke risicobeoordeling baseert u zich op de richtlijnen die uitgeschreven werden door de Working Party 29. Hou in het achterhoofd dat u in principe steeds een melding dient uit te voeren bij de GBA en indien u dat niet doet, u zal moeten aantonen dat het niet waarschijnlijk is dat er een risico is voor natuurlijke personen.  Een melding bij de GBA kan uitgevoerd worden via het Belgisch standaardformulier.

Daarnaast kan u verplicht worden om de inbreuk ook te melden aan de betrokkene. Dit is het geval wanneer het gegevenslek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Ook hier dringt een risicobeoordeling zich op. Deze melding kan u best uitvoeren in een specifiek bericht, gericht aan de betrokkene en in een duidelijke en eenvoudige taal.

Zoals reeds eerder werd aangehaald, zal een melding bij de politie worden uitgevoerd.

Tenslotte kan u  er nog voor opteren om derden in te lichten. Denk daarbij aan stakeholders en klanten. Om een goede en duidelijke boodschap op te stellen waarbij u rekening houdt met de juridische gevolgen van dergelijke boodschap kan u best zich laten adviseren door een communicatiespecialist en eventueel ook een jurist.

Meer informatie?

Maarten De Voeght
Juridisch adviseur bouwrecht
03 203 44 03
maarten.devoeght@embuild.be

Gerelateerd bouwnieuws

Lees al onze artikels

• 

  Boete opgelegd aan bouwbedrijf wegens overtreden GDPR

  De Gegevensbeschermingsautoriteit (GBA) heeft een boete opgelegd aan een bouwbedrijf dat ongevraagde reclame verstuurde (Beslissing…

• 

  Heeft u een website of bent u een KMO? Wees gewaarschuwd: de Gegevensbeschermingsautoriteit ziet (en controleert) u!

  Wat weet u nog over de GDPR? Het zou zomaar een vraag kunnen zijn in…

• Enkel voor leden

  Lid worden

  Lidnummer

  Postcode

  Onthoud mij

  Log in
  

  Mag ik nog persoonsgegevens verwerken?

  Sinds de intrede van de GDPR gaan we bewuster om met de verwerking van persoonsgegevens.…

• 

  Cookies zijn onschadelijk. Toch?!

  Cookies zijn "minibestanden" en kunnen worden geplaatst op uw apparaat dat is verbonden met het…