Belgische privacytoezichthouder over de verantwoordingsplicht: wat betekent deze uitleg voor beveiligingsincidenten?

13-05-2020

Molen, Sander van de

De Gegevensbeschermingsautoriteit België (GBA) heeft nader uitleg gegeven over de verantwoordingsplicht. Aanleiding hiervoor is een datalek waar de Belgische privacytoezichthouder onderzoek naar heeft gedaan. Wat betekent de beslissing van de GBA voor beveiligingsincidenten?

Het ging in dit onderzoek over de vraag of verweerder zijn register van ‘inbreuken’ (lees: register van beveiligingsincidenten – en mogelijke meldplichtige datalekken) op orde had en of het risico voor de betrokkene goed is beoordeeld. Vooropgesteld is het goed te vermelden dat de GBA van oordeel is (GBA / zaaknummer 18/2020) dat verweerder deze verantwoordingsplicht niet heeft overtreden.

Accountability

De GBA geeft hierover onder meer het volgende aan:

  1. De verantwoordingsplicht van artikel 5 lid 2 AVG is niet beperkt tot de beginselen van artikel 5 lid 1 AVG, maar heeft (ook) betrekking op de andere bepalingen van de AVG, waaronder bijvoorbeeld artikel 33 en 34 AVG (beveiligingsincidenten en meldingen aan de autoriteit en/of betrokkene). De GBA merkt op dat dit voortvloeit "uit de nauwe samenhang tussen enerzijds artikel 5 lid 2 en anderzijds de verplichtingen voor de verwerkingsverantwoordelijke die voortvloeien uit artikel 24 AVG".
  2. De GBA refereert voor wat betreft beveiligingsincidenten aan de Richtsnoeren van de WP29 (WP250.Rev01). Dit betekent voor de verantwoordingsplicht aangaande beveiligingsincidenten ofwel ‘inbreuken’ het volgende:
    1. Alle inbreuken moeten worden gedocumenteerd, voorzien van:
      1. De feiten/bijzonderheden omtrent de inbreuk.
      2. De oorzaken van de inbreuk, wat er zich heeft afgespeeld en de betrokken persoonsgegevens.
      3. De gevolgen van de inbreuk.
      4. De genomen corrigerende maatregelen.
      5. Tevens moet de motivering voor de besluiten van de verwerkingsverantwoordelijke naar aanleiding van de inbreuk worden gedocumenteerd. Dit betekent vastlegging van de redenen om wel/niet te melden. De vraag die hierbij moet worden beantwoord is of de inbreuk wel/geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de verwerkingsverantwoordelijke van mening is dat een inbreuk "waarschijnlijk geen risico inhoudt" voor de betrokkene(n), dient hij dit te kunnen bewijzen.
    2. Dit geldt voor inbreuken die wel en niet gemeld worden aan de autoriteit.
    3. Derhalve moet een verwerkingsverantwoordelijke een intern register van beveiligingsincidenten bijhouden. De toezichthoudende autoriteit kan verzoeken om inzage van dit register.
    4. Voorts moet de verwerkingsverantwoordelijke beschikken over een meldprocedure.
    5. Tot slot dienen medewerkers bekend te zijn met deze procedure en moeten zij weten hoe zij op inbreuken moeten reageren.

Wat betekent deze beslissing?

De GBA maakt nog eens duidelijk dat een verwerkingsverantwoordelijke de wijze waarop hij voldoet aan de verplichtingen van de AVG aantoonbaar moet kunnen maken. Dit betekent dus dat de verwerkingsverantwoordelijke, voor alle verplichte onderdelen van de AVG die van toepassing zijn, beleid, procedures of gedragsregels beschikbaar moet hebben en moet hebben gecommuniceerd. Tevens moeten registers worden bijgehouden en afwegingen en beslissingen dienen te zijn gedocumenteerd, zodat zo nodig bewijs kan worden geleverd aan de autoriteit.

Het verband tussen artikel 5 lid 2 en artikel 24 AVG maakt vervolgens duidelijk dat de verwerkingsverantwoordelijke ook een verbetercyclus ('PDCA-cyclus') moet inregelen door alle verplichtingen periodiek te evalueren en indien nodig te verbeteren en te actualiseren.


Meer artikelen van PrivacyTeam

Dit artikel is ook te vinden in de dossiers Verantwoordingsplicht en Datalek

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer