De Algemene Verordening Gegevensbescherming (GDPR) installeerde vele nieuwigheden voor lokale besturen, waaronder het (verplicht) melden van datalekken én het voorzien in gedocumenteerde procedure(s) hiervoor. Hacking, ransomware-aanvallen, foutief geadresseerde communicatie, het niet afdoende beperken van fysieke of digitale toegangen, … de voorbeelden van datalekken zijn inmiddels legio.

Vorige week werd stad Antwerpen getroffen door een aanval van Hackersgroep Play, die aan de haal gingen met zo’n 557 gigabyte aan data (waaronder belangrijke persoonlijke informatie, paspoorten, identiteitskaarden, financiële documenten, …). Sindsdien zijn niet enkel de digitale en fysieke dienstverlening alsook interne werking (ernstig) verstoord, maar werd de stad ook geconfronteerd met een eis tot betaling van losgeld. Wel of niet betalen wordt daardoor niet alleen belangrijk om de stadsdiensten opnieuw draaiende te krijgen, ook persoonlijke gegevens van heel wat Antwerpenaren dreigen online te verschijnen…

En de jacht op (data van-) lokale besturen lijkt geopend, want vandaag kopt de Vlaamse Toezichtcommissie dat niet alleen stad Antwerpen getroffen is, waarbij zij waarschuwt om ervoor te zorgen niet de volgende te zijn en het slimmer te spelen.

Schijnbaar profetische woorden van de Vlaamse Toezichtcommissie, vermits na stad Antwerpen ook stad Diest deze week slachtoffer bleek te zijn van een cyberaanval. Verschillende stadsdiensten bleken niet langer bereikbaar via mail en inwoners konden niet bij de loketten terecht. Ook de stadsbibliotheek, verschillende scholen en het cultuurcentrum bleken te kampen met allerlei problemen.

Ook eerder vielen verschillende lokale besturen -als houder én verwerkingsverantwoordelijke van een gigantische hoeveelheid persoonsgegevens- al herhaaldelijk te prooi aan datalekken. Enkele nieuwskoppen uit het (niet zo verre) verleden:

• “Gemeentediensten van Willebroek slachtoffer van cyberaanval: “Hackers vragen betaling in bitcoins”;
• “Facebookpagina van Stad Turnhout gehackt: Werken voor de stad ? Blank zijn en roddelen over collega’s”
• …

Maar hoe dient uw lokaal bestuur zich (zorgvuldig) te gedragen bij datalekken?

Wij reiken u hierna een mogelijk richtsnoer aan.

STAP 1: Herken een inbreuk

Artikel 4, 12) GDPR omschrijft een datalek respectievelijk “inbreuk in verband met persoonsgegevens” als volgt:

“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;”

Concreet gaat het bijvoorbeeld om:

• het verliezen van een USB-stick of GSM met niet versleutelde persoonsgegevens;
• een draagbare computer die uit een wagen wordt gestolen;

• een cyberaanval waarbij de beveiliging van persoonsgegevens in gedrang komt;
• ….

Maar evenzeer, een foutief geadresseerde mail of een computerscherm met een (vertrouwelijk) dossier dat persoonsgegevens bevat en niet vergrendeld is, terwijl de medewerker niet aan het scherm zit. 

STAP 2: Interne melding (en verificatie)

De inbreuk die wordt vastgesteld (of diende te worden vastgesteld) dient onmiddellijk te worden gemeld bij de DPO van uw lokaal bestuur.

Uw DPO zal de evaluatie dienen te maken of de melding effectief gaat om een “inbreuk in verband met persoonsgegevens” in de zin van artikel 4, 12 GDPR (zie supra).

STAP 3: Interne registratie

In zoverre het gaat om een inbreuk in bovenvermelde zin, zal uw DPO de beoordeling maken of de inbreuk (al dan niet) betrekking heeft op persoonsgegevens waarvoor uw lokaal bestuur verwerkingsverantwoordelijke is, m.n. of uw lokaal bestuur voor die verwerking van die persoonsgegevens het doel en de middelen bepaalt.

• Zo niet, brengt uw DPO de (andere) verwerkingsverantwoordelijke op de hoogt en noteert uw DPO de inbreuk in uw “incidentenregister” als “verwerker”.

• Zo wel, noteert uw DPO de inbreuk in uw “incidentenregister” als “verwerkingsverantwoordelijke.”

Voor een goed begrip, artikel 33, lid 5 GDPR verwijst naar het incidentenregister als volgt: “De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documenten stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.”

Met “alle inbreuken” worden zowel diegene bedoeld waarvan melding gemaakt dient te worden, als diegene waarvan geen melding gemaakt moet worden (zie infra).

Er van uitgaande dat in de praktijk tientallen (beperkte) “inbreuken” (bijvoorbeeld: het meekijken op een computerscherm) per dag kunnen gebeuren, zou de vraag kunnen worden gesteld of geen “gezond boerenverstand” benadering kan / moet worden gehanteerd.

STAP 4: Risico-inschatting

De volgende vraag die zich stelt is of de inbreuk leidt tot een “risico” voor de rechten en vrijheden van de betrokkene(n).

Concreet kan de vraag worden gesteld of het datalek, potentieel, kan leiden tot (ernstige) lichamelijke, materiële of immateriële schade, zoals (bijvoorbeeld): discriminatie, identiteitsdiefstal, fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, beperking van uitoefening van rechten, …

Working Party 29 heeft een 7-tal omstandigheden omschreven waarmee bij de beoordeling van het risico steeds rekening dient te worden gehouden:

• Aard van inbreuk:

Het type van inbreuk kan een invloed hebben op het risico. Een inbreuk op de vertrouwelijkheid van gegevens over gezondheid waarbij onbevoegden toegang hebben, kan andere (en grotere) gevolgen hebben dan een inbreuk waarbij die gegevens verloren zijn gegaan en niet langer beschikbaar zijn.

• Aard van persoonsgegevens:

Voorbeeld is een lijst van klanten die thuis regelmatig bestellingen ontvangen. Dit is op zich relatief ongevaarlijk, maar dat wordt anders als die lijst ook aangeeft welke klanten gevraagd hebben om de leveringen tijdelijk stop te zetten omdat ze met vakantie zijn. Een dergelijke (aangevulde) lijst kan immers nuttig zijn voor criminelen.

• Gemak van identificatie:

Hoe gemakkelijk is het voor diegene die de inbreuk pleegt, om personen te identificeren dan wel om gegevens te koppelen aan andere informatie om op die manier personen te identificeren. Aangenomen mag worden dat hoe groter dit gemak is, des te groter ook het risico is.

• Ernst van de gevolgen:

De gevolgen van een inbreuk en met name de schade die eruit voortvloeit, kunnen bijzonder ernstig zijn. Dat is (bijvoorbeeld) het geval als de inbreuk kan leiden tot identiteitsdiefstal of -fraude, lichamelijk letsel, psychisch leed, vernedering of reputatieschade. (zie supra)

De ernst van de gevolgen kan ook verband houden met de persoon van de betrokkenen. Dat houdt in dat een inbreuk die over het algemeen niet onmiddellijk een risico inhoudt, dat wel kan zijn voor kwetsbare personen. De ernst van de gevolgen wordt mee beïnvloed door een veelheid aan factoren. Een van die factoren betreft het bewustzijn of de ontvangers van gegevens al dan niet kwaadwillige intenties hebben.

• Bijzondere kenmerken van de persoon:

Om de risico’s te beoordelen moet rekening worden gehouden met factoren die betrekking hebben op de persoon van de betrokkenen. Daarbij kan voorgehouden worden dat als een inbreuk betrekking heeft op persoonsgegevens van kinderen of andere kwetsbare personen, de risico’s groter zijn.

• Bijzondere kenmerken van de verwerkingsverantwoordelijke:

De aard en de rol van de verwerkingsverantwoordelijke en zijn activiteiten kunnen van invloed zijn op het risico. Dat is het geval met een medische organisatie die bijzondere categorieën van persoonsgegevens verwerkt, zodat een inbreuk in verband met persoonsgegevens voor de betrokkenen, in casu de patiënten, over het algemeen een groter risico opleveren.

• Aantal getroffen personen:

Een inbreuk kan 1 persoon treffen, maar evenzeer enkele duizenden of miljoenen personen. Algemeen kan men stellen dat naarmate er meer personen betrokken zijn, een inbreuk grotere gevolgen kan hebben. Dat neemt niet weg dat in bepaalde gevallen een inbreuk ook voor één persoon ernstige gevolgen kan hebben.

STAP 5: Melding aan de toezichthoudende autoriteit

In zoverre er sprake is van een risico voor de rechten en vrijheden van de betrokkene (zie supra), dient er een melding te gebeuren bij de bevoegde toezichthoudende autoriteit.

Die melding dient door de verwerkingsverantwoordelijke – aan de hand van een online meldingsformulier – te gebeuren binnen de 72 uur nadat hij kennis kreeg / moest krijgen van de betreffende inbreuk.

Beschikt de verwerkingsverantwoordelijke over te weinig info, deelt hij / zij de melding op in 2 fasen: (i) voormelding aan de toezichthoudende autoriteit binnen voormelde 72 uur; (ii) volledige melding van zodra alle info gekend is.

Indien de melding aan de toezichthoudende autoriteit niet binnen de 72 uur gebeurt, dient u de laattijdigheid te motiveren.

Bij die melding wordt (minimaal) volgende informatie verschaft:

• aard gegevenslek;
• categorie betrokken personen;
• categorie persoonsgegevens;
• aantal betrokkenen + persoonsgegevens;

• naam + contactgegevens DPO;
• mogelijke gevolgen inbreuk;
• reeds genomen maatregelen door de verwerkingsverantwoordelijke.

STAP 6: Ook melding aan betrokkene(n)?

In zoverre er sprake is van een “hoog” risico voor de rechten en vrijheden van de betrokkene(n) (zie supra voor de beoordelingscriteria) zal u de inbreuk ook aan de betrokkene(n) dienen te melden, tenzij:

• uw lokaal bestuur passende technische organisatorische maatregelen nam, die de persoonsgegevens onbegrijpelijk maakten voor onbevoegden; of

• het lokaal bestuur achteraf maatregelen nam om ervoor te zorgen dat het hoge risico zich niet meer zal voordoen;
• de mededeling onevenredige inspanningen zou vergen, in welk geval een openbare mededeling is toegestaan.

STAP 7: Evaluatie (en verdere acties?)

Ten slotte maakt u in elk geval een evaluatie van de inbreuk en neemt u maatregelen om gelijkaardige incidenten in de toekomst te vermijden, bijvoorbeeld:

• Algemene ICT gebruiksrichtlijnen opstellen
• ICT verantwoordelijke aanstellen
• ICT-incidentendossier voorbereiden
• Antivirus installeren
• Bedrijfskritische toepassingen afschermen van op internet aangesloten netwerken
• Interne incidentenbrochure opstellen zodat werknemers weten wat te doen indien er een inbreuk wordt vastgesteld
• Intern beleid rond datalekken opzetten
• …

Slotsom

Wij concluderen dat de opvolging van datalekken geen sinecure betreft en zonder twijfel relevant is binnen elk lokaal bestuur, zoals de actualiteit ook (meer dan eens-) heeft aangetoond Te meer, de zeer beperkte termijn (72 uur) waarbinnen uw lokaal bestuur actie moet / zou moeten ondernemen.

Zoals elke GDPR-verplichting kan ook de gebrekkige opvolging van datalekken aanleiding geven tot sancties, waarnaar de toezichthoudende autoriteiten veelvuldig verwijzen. Wij adviseren dan ook steeds binnen uw lokaal bestuur uw medewerkers bewust te maken van voormeld proces ter opvolgging van datalekken.