-
Zetel Antwerpen
Th. Van Rijswijckplaats 7
2000 Antwerpen
T 03 203 44 00
F 03 232 79 37 -
Zetel Kempen
Kleinhoefstraat 6
2440 Geel
T 014 63 95 70
Ondernemingsnummer BE0627 844 475
GDPR, Gevoelige gegevens, GDPR
28 januari 2022
Sinds de inwerkingtreding van de GDPR is er meer aandacht voor persoonsgegevens en de bescherming ervan. Helaas bestaan er ook mensen die er hun beroep van hebben gemaakt om persoonsgegevens te stelen met het oog op het verkrijgen van losgeld.
Meestal gaat men als volgt te werk: hackers versleutelen voor uw bedrijf essentiële gegevens. In ruil voor de sleutel verzoeken zij aan het bedrijf om een som geld te betalen.
Bovenstaande situatie wordt in de GDPR omschreven als een “data breach” of een gegevenslek. Om van een gegevenslek te kunnen spreken, moet het gaan om een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of tot de ongeoorloofde verstrekking van of toegang tot persoonsgegevens.
Wat doet u best wanneer u wordt geconfronteerd met dergelijke inbreuk?
U gaat in de eerste plaats de aandacht richten op het lek zelf. Dit gaat u doen op basis van de bestaande ‘data breach policy’. Indien uw bedrijf dit nog niet heeft, kan u een kijkje nemen op de ledenafdeling van onze website waar u een model van dergelijke policy vindt.
Het spreekt voor zich dat u gaat trachten om de aanval te stoppen, om het lek te dichten en om nadien verder onderzoek te doen. Dit onderzoek zal in de eerste plaats dienen om na te gaan welke gegevens er buit werden gemaakt en hoe de aanval is kunnen gebeuren. Dit onderzoek gaat u best samen met specialisten uitvoeren, zoals uw IT-dienst.
Wat u best niet doet, is losgeld betalen om de gegevens terug te krijgen.
Dien een klacht in bij de politie. Dit kan nuttig zijn omdat zij een aantal onderzoeksdaden kunnen stellen die u kunnen helpen om de omvang en de reikwijdte van de aanval vast te stellen.
De kans bestaat dat de aanval werd ingezet of afkomstig is van bij één van uw dienstverleners, zoals een externe IT-dienst of een bedrijf dat uw werknemers van maaltijdcheques voorziet. In dat geval dient u de aansprakelijkheden in kaart te brengen door het verzamelen van bewijsmateriaal.
Het volgende dat dient te worden onderzocht, is de omvang van de door uw bedrijf geleden schade.
Van zodra u beschikt over de nodige informatie over de verantwoordelijkheid voor de aanval en de door u geleden schade, kan u de verantwoordelijke partij in gebreke te stellen zodat u de schade op die partij kan trachten te verhalen.
Vervolgens dient u een aantal partijen in te lichten.
Als eerste verwittigt u uw werknemers. Zo is het goed mogelijk dat zij ten gevolge van de aanval geen gebruik meer kunnen of mogen maken van een bepaalde software.
Indien u een cyberverzekering heeft, dient u die uiteraard in te lichten van een datalek.
Vervolgens gaat u nakijken welke verplichtingen u heeft in het kader van de GDPR.
De regelgeving legt namelijk op dat u een datalek dient te melden bij de Gegevensbeschermingsautoriteit (GBA), tenzij het niet waarschijnlijk is dat het gegevenslek een “risico” inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit houdt in dat u een risicobeoordeling zal moeten doen van het gegevenslek. Voor het uitvoeren van dergelijke risicobeoordeling baseert u zich op de richtlijnen die uitgeschreven werden door de Working Party 29. Hou in het achterhoofd dat u in principe steeds een melding dient uit te voeren bij de GBA en indien u dat niet doet, u zal moeten aantonen dat het niet waarschijnlijk is dat er een risico is voor natuurlijke personen. Een melding bij de GBA kan uitgevoerd worden via het Belgisch standaardformulier.
Daarnaast kan u verplicht worden om de inbreuk ook te melden aan de betrokkene. Dit is het geval wanneer het gegevenslek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Ook hier dringt een risicobeoordeling zich op. Deze melding kan u best uitvoeren in een specifiek bericht, gericht aan de betrokkene en in een duidelijke en eenvoudige taal.
Zoals reeds eerder werd aangehaald, zal een melding bij de politie worden uitgevoerd.
Tenslotte kan u er nog voor opteren om derden in te lichten. Denk daarbij aan stakeholders en klanten. Om een goede en duidelijke boodschap op te stellen waarbij u rekening houdt met de juridische gevolgen van dergelijke boodschap kan u best zich laten adviseren door een communicatiespecialist en eventueel ook een jurist.
Maarten De Voeght
Juridisch adviseur bouwrecht
03 203 44 03
maarten.devoeght@embuild.be