De Gegevensbeschermingsautoriteit België (GBA) heeft nader uitleg gegeven over de verantwoordingsplicht. Aanleiding hiervoor is een datalek waar de Belgische privacytoezichthouder onderzoek naar heeft gedaan. Wat betekent de beslissing van de GBA voor beveiligingsincidenten?
Het ging in dit onderzoek over de vraag of verweerder zijn register van ‘inbreuken’ (lees: register van beveiligingsincidenten – en mogelijke meldplichtige datalekken) op orde had en of het risico voor de betrokkene goed is beoordeeld. Vooropgesteld is het goed te vermelden dat de GBA van oordeel is (GBA / zaaknummer 18/2020) dat verweerder deze verantwoordingsplicht niet heeft overtreden.
De GBA geeft hierover onder meer het volgende aan:
De verantwoordingsplicht van artikel 5 lid 2 AVG is niet beperkt tot de beginselen van artikel 5 lid 1 AVG, maar heeft (ook) betrekking op de andere bepalingen van de AVG, waaronder bijvoorbeeld artikel 33 en 34 AVG (beveiligingsincidenten en meldingen aan de autoriteit en/of betrokkene). De GBA merkt op dat dit voortvloeit "uit de nauwe samenhang tussen enerzijds artikel 5 lid 2 en anderzijds de verplichtingen voor de verwerkingsverantwoordelijke die voortvloeien uit artikel 24 AVG".
De GBA refereert voor wat betreft beveiligingsincidenten aan de Richtsnoeren van de WP29 (). Dit betekent voor de verantwoordingsplicht aangaande beveiligingsincidenten ofwel ‘inbreuken’ het volgende:
Alle inbreuken moeten worden gedocumenteerd, voorzien van:
De feiten/bijzonderheden omtrent de inbreuk.
De oorzaken van de inbreuk, wat er zich heeft afgespeeld en de betrokken persoonsgegevens.
De gevolgen van de inbreuk.
De genomen corrigerende maatregelen.
Tevens moet de motivering voor de besluiten van de verwerkingsverantwoordelijke naar aanleiding van de inbreuk worden gedocumenteerd. Dit betekent vastlegging van de redenen om wel/niet te melden. De vraag die hierbij moet worden beantwoord is of de inbreuk wel/geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de verwerkingsverantwoordelijke van mening is dat een inbreuk "waarschijnlijk geen risico inhoudt" voor de betrokkene(n), dient hij dit te kunnen bewijzen.
Alle inbreuken moeten worden gedocumenteerd, voorzien van:
Dit geldt voor inbreuken die wel en niet gemeld worden aan de autoriteit.
Derhalve moet een verwerkingsverantwoordelijke een intern register van beveiligingsincidenten bijhouden. De toezichthoudende autoriteit kan verzoeken om inzage van dit register.
Voorts moet de verwerkingsverantwoordelijke beschikken over een meldprocedure.
Tot slot dienen medewerkers bekend te zijn met deze procedure en moeten zij weten hoe zij op inbreuken moeten reageren.
De GBA refereert voor wat betreft beveiligingsincidenten aan de Richtsnoeren van de WP29 (). Dit betekent voor de verantwoordingsplicht aangaande beveiligingsincidenten ofwel ‘inbreuken’ het volgende:
De GBA maakt nog eens duidelijk dat een verwerkingsverantwoordelijke de wijze waarop hij voldoet aan de verplichtingen van de AVG aantoonbaar moet kunnen maken. Dit betekent dus dat de verwerkingsverantwoordelijke, voor alle verplichte onderdelen van de AVG die van toepassing zijn, beleid, procedures of gedragsregels beschikbaar moet hebben en moet hebben gecommuniceerd. Tevens moeten registers worden bijgehouden en afwegingen en beslissingen dienen te zijn gedocumenteerd, zodat zo nodig bewijs kan worden geleverd aan de autoriteit.
Het verband tussen artikel 5 lid 2 en artikel 24 AVG maakt vervolgens duidelijk dat de verwerkingsverantwoordelijke ook een verbetercyclus ('PDCA-cyclus') moet inregelen door alle verplichtingen periodiek te evalueren en indien nodig te verbeteren en te actualiseren.
Meer artikelen van PrivacyTeam
Dit artikel is ook te vinden in de dossiers Verantwoordingsplicht en Datalek
