Skip to main content

Datalek melden: Hoeveel tijd heb je eigenlijk?*

| IB&P | ,

Hoe te handelen bij een datalek mag inmiddels duidelijk zijn (zo niet, lees dan dit stappenplan). Toch belandde ik laatst in een discussie over de vraag: wánneer start de 72-uur termijn voor het melden van een datalek bij een toezichthoudende autoriteit, als dit datalek is ontstaan bij een verwerker?

In dit blog onderzoek ik twee visies:

  1. de 72-uur termijn start wanneer een verwerker een datalek vaststelt; of
  2. de 72-uur termijn start pas nadat de verwerker de verwerkingsverantwoordelijke in kennis stelt van een datalek.

In de praktijk zie ik visie 1 vaak voorbijkomen, maar ik vond ook goede argumenten voor visie 2. Ik begin met uit te leggen wie moet melden en wat ‘kennis krijgen van een datalek’ precies betekent.

Verwerkingsverantwoordelijke meldt het datalek

De verwerkingsverantwoordelijke is degene is die een datalek moet melden aan de toezichthouder, zie overweging 85 en artikel 33 van de AVG. Ook is duidelijk dat de 72-uur termijn start wanneer de verwerkingsverantwoordelijke kennis krijgt van een datalek. Maar wat houdt dat in: ‘kennis krijgen van een datalek’?

‘Kennis krijgen van een datalek’

Een redelijke mate van zekerheid is vereist volgens de WP29 richtlijn over datalekken:

(…) a controller should be regarded as having become “aware” when that controller has a reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised.” (WP29 is inmiddels EDPB)

Wat betekent ‘een redelijke mate van zekerheid’ concreet? Allereerst nemen de verwerker en de verwerkingsverantwoordelijke maatregelen om incidenten snel te herkennen. Is dat niet voldoende om met een redelijke mate van zekerheid een datalek vast te stellen? Dan mag de verwerkingsverantwoordelijke kort de tijd nemen voor onderzoek (artikel 32 AVG). Tot zover geen onduidelijkheden, maar vanaf dit punt zijn er twee visies te onderscheiden.

Gangbare visie

De 72-uur termijn start wanneer een verwerker een datalek vaststelt

Hoewel de AVG zwijgt over de details is deze visie in de praktijk het meest gangbaar en daar is ook iets voor te zeggen wanneer we kijken naar de WP29 richtlijn datalekken:

“The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has become aware.”

Deze visie zou gangbaar moeten blijven aangezien het Engels de officiële taal van EU-richtlijnen is. Of zijn er argumenten voor een andere visie?

Te verdedigen visie

De 72-uur termijn start pas nadat de verwerker de verwerkingsverantwoordelijke in kennis stelt van een datalek

Dezelfde zin uit de Engelse richtlijn is in de Nederlandse WP29 richtlijn datalekken heel anders vertaald:

“(…) derhalve dient de verwerkingsverantwoordelijke in beginsel te worden geacht “kennis” te hebben gekregen zodra de verwerker hem van de inbreuk in kennis heeft gesteld.”

Deze Nederlandse vertaling is wellicht onvoldoende om over stag te gaan, aangezien de Engelse tekst leidend is.

In de toelichting bij de Standaard Verwerkersovereenkomst Gemeenten start de 72-uur termijn ook nadat de verwerker het datalek bij de verwerkingsverantwoordelijke meldt:

“If the breach occurred at the processor, therefore, and the processor informs the data controller, the data controller is not aware of the breach until that moment, and the 72-hour period starts then.”

Maar er is meer.

Onderzoek “telt niet mee”

De verwerker kan geen “kennis krijgen” van een datalek zolang zijn onderzoek nog loopt. Ook de termijn om het lek te melden aan de verwerkingsverantwoordelijke (in het VNG-model: 24 uur) start nog niet. Zie de toelichting bij de Standaard Verwerkersovereenkomst Gemeenten:

“The processor cannot be considered to be ‘aware’ of a breach, and the 24-hour period for reporting incidents does not commence, as long as the investigation is underway.”

De WP29 richtlijn datalekken sluit hierop aan. Ook de verwerkingsverantwoordelijke heeft (kort de) tijd voor een onderzoek:

“Accordingly, it should be clear that there is an obligation on the controller to act on any initial alert and establish whether or not a breach has, in fact, occurred. This brief period allows for investigation, and for the controller to gather evidence and other relevant details. However, once the controller has established with a reasonable degree of certainty that a breach has occurred, if the conditions in Article 33(1) have been met, it must then notify the supervisory authority without undue delay and, where feasible, not later than 72.”

Stappenplan: datalek bij verwerker

Het volgende stappenplan ontstaat wanneer ik bovenstaande op een rijtje zet:

  • (Veronderstelde voorbereiding) De verwerker en verwerkingsverantwoordelijke implementeren individueel en gezamenlijk maatregelen om datalekken te herkennen en te voorkomen
  • Er doet zich een incident voor bij de verwerker
  • De verwerker valt terug op geïmplementeerde maatregelen of doet onderzoek naar het incident
  • De verwerker krijgt kennis van het datalek en stelt het lek vast
  • De termijn voor de verwerker om het datalek aan de verwerkingsverantwoordelijke te melden start nu! (Standaard Verwerkersovereenkomst Gemeenten hanteert 24 uur)
  • De verwerker meldt het datalek bij de verwerkingsverantwoordelijke
  • De verwerkingsverantwoordelijke valt terug op geïmplementeerde maatregelen of doet onderzoek naar de melding van de verwerker
  • De verwerkingsverantwoordelijke stelt met redelijke mate van zekerheid vast dat er sprake is van een datalek
  • De 72-uur termijn voor het melden van het datalek aan de autoriteit start nu!

Neem de tijd voor het melden van een datalek

In dit blog liet ik zien dat de 72-uur termijn pas start nadat de verwerkingsverantwoordelijke voor zichzelf heeft vastgesteld dat er sprake is van een datalek. Daarnaast mogen verwerker en verwerkingsverantwoordelijke allebei een onderzoek instellen. En de tijd die ze daaraan besteden telt niet mee voor de 72-uur termijn.

Je zou nu kunnen denken dat je als CISO of Privacy Officer rustig aan kunt doen. Vergeet niet dat je aan de toezichthouder verantwoording moet afleggen over de tijd voorafgaand aan een melding. Gebruik daarom de extra tijd om open te communiceren met verwerkers. Maak afspraken, neem maatregelen en evalueer. Hiermee voorkom je stress en onnodige meldingen aan de toezichthouder.

Heb je hulp nodig bij het opzetten van een datalekprocedure? Of wil je ondersteuning om tot goede afspraken en maatregelen met verwerkers te komen? Neem dan contact met ons op.

* Deze blog is oorspronkelijk geschreven door oud-collega Eelke de Jong

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…