Nederland werd onlangs opgeschrikt door een groot datalek bij een softwareleverancier. Hierdoor werden vele grote bedrijven geraakt en mogelijk zijn er persoonsgegevens van miljoenen mensen buit gemaakt. Een van die bedrijven heeft vorige week in kort geding gevorderd dat de desbetreffende softwareleverancier informatie over het lek moet verschaffen. De voorzieningenrechter heeft die vordering toegewezen. Veel gestelde vagen in dat kader zijn op dit moment: wat mag je van een software- of IT-leverancier verwachten bij een datalek en wat kan een verwerkingsverantwoordelijke zelf doen om de impact te verkleinen?
Verwerkers en verwerkingsverantwoordelijken bij een datalek
Schakelt een verwerkingsverantwoordelijke een software- of IT-bedrijf in voor een cloud-oplossing of ERP-pakket, waarin ook persoonsgegevens worden verwerkt? Dan is de softwareleverancier in de meeste gevallen een verwerker in de zin van de AVG.
Een verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de persoonsgegevens die ze verwerkt. Ook wanneer die verwerking wordt uitbesteed aan een verwerker.
Een verwerkingsverantwoordelijke dient een datalek uiterlijk binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Ook maakt de verantwoordelijke de afweging of het noodzakelijk is de betrokkenen in te lichten over het lek.
De verwerkingsverantwoordelijke draagt dus de verantwoordelijkheid, maar dat ontslaat de verwerker niet van zijn plichten.
Wat zegt de AVG over de rol van verwerkers bij een datalek?
De AVG zegt over een datalek bij een verwerker het volgende:
“De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.”
Daar houdt de verplichting van een verwerker nog niet op.
Volgens de AVG moet in de melding aan de verantwoordelijke ook nog ten minste het volgende worden omschreven of meegedeeld:
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Daarnaast zijn een verwerker en verwerkingsverantwoordelijke verplicht een verwerkersovereenkomst met elkaar te sluiten op grond van de AVG. In de overeenkomst kunnen nog nadere afspraken worden gemaakt over hoe te handelen in het geval van een datalek. Denk aan afspraken die zijn gemaakt over termijnen, welke hulp er wordt geboden door de verwerker, of de verwerker opvolging moet geven aan instructies van de verantwoordelijke en hoe de communicatie verloopt met de aangewezen contactpersonen.
6 maatregelen die de impact verkleinen
Een datalek in zijn geheel voorkomen gaat helaas niet. Gelukkig zijn er wel maatregelen die een verwerkingsverantwoordelijke vooraf kan nemen om de impact van een datalek bij de verwerker te verkleinen. De Autoriteit Persoonsgegevens heeft 6 aanbevelingen gedaan voor maatregelen die een verwerkingsverantwoordelijke kan treffen.
1. Afspraken naleving meldplicht datalekken
Maak in de verwerkersovereenkomst goede afspraken over de hulp die de verwerker geeft bij de naleving van de meldplicht datalekken. Hoe snel moet verwerker het lek melden aan de verantwoordelijke en welke acties moet deze nemen bij een datalek?
2. Actieplan bij datalekken
Als een datalek zich voordoet, is de verwerkingsverantwoordelijke verplicht snel te handelen. De verwerker moet de verwerkingsverantwoordelijke zo snel mogelijk inlichten, zodat deze zo nodig melding kan maken bij de Autoriteit Persoonsgegevens (binnen 72 uur) en afhankelijk van de impact ook de betrokkenen kan informeren. Zorg daarom dat u een gedegen actieplan op de plank heeft liggen.
3. Controle op uitvoering verwerkersovereenkomst
Worden de afspraken in de verwerkersovereenkomst daadwerkelijk nageleefd en zijn de afspraken actueel? Controleer dit periodiek, zodat u niet voor nare verrassingen komt te staan bij een datalek.
4. Verwerkingsregister up-to-date
In veel gevallen bent u verplicht een verwerkingsregister bij te houden. Dit register bevat een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden. Zorg ervoor dat dit verwerkingsregister up-to-date blijft. Zowel bij de verwerkingsverantwoordelijke als de verwerker.
Dit register helpt bij het maken van een inschatting hoeveel en welk type persoonsgegevens zijn betrokken bij een datalek. Zo kan een organisatie eenvoudiger bepalen wat de gevolgen van het lek zijn voor de betrokkenen en welke acties vervolgens genomen moeten worden.
5. Beveiliging op orde
Ook als de verwerking van persoonsgegevens volledig wordt uitbesteed, is de verwerkingsverantwoordelijke verantwoordelijk voor de beveiliging. Kies daarom voor een verwerker die aantoonbaar zorgt voor de juiste beveiligingsmaatregelen. Op technisch en organisatorisch vlak, zoals voorgeschreven door de AVG. Zorg dat de verwerker de benodigde certificeringen heeft en passende organisatorische en technische maatregelen heeft getroffen om persoonsgegevens te beveiligen.
6. Deel zo min mogelijk
Deel niet meer persoonsgegevens dan strikt noodzakelijk met de verwerker en controleer of de regels worden nageleefd. Check bijvoorbeeld of gegevens na het verlopen van de bewaartermijn inderdaad gewist worden.
Op de hoogte blijven van deze en andere ontwikkelingen in ICT-recht?
Abonneert u zich dan nu op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw inbox.