Hoe te handelen bij een datalek mag inmiddels duidelijk zijn (zo niet, lees dan dit stappenplan). Toch belandde ik laatst in een discussie over de vraag: wánneer start de 72-uur termijn voor het melden van een datalek bij een toezichthoudende autoriteit, als dit datalek is ontstaan bij een verwerker?

In dit blog onderzoek ik twee visies:

1. de 72-uur termijn start wanneer een verwerker een datalek vaststelt; of
2. de 72-uur termijn start pas nadat de verwerker de verwerkingsverantwoordelijke in kennis stelt van een datalek.

In de praktijk zie ik visie 1 vaak voorbijkomen, maar ik vond ook goede argumenten voor visie 2. Ik begin met uit te leggen wie moet melden en wat ‘kennis krijgen van een datalek’ precies betekent.

Verwerkingsverantwoordelijke meldt het datalek

De verwerkingsverantwoordelijke is degene is die een datalek moet melden aan de toezichthouder, zie overweging 85 en artikel 33 van de AVG. Ook is duidelijk dat de 72-uur termijn start wanneer de verwerkingsverantwoordelijke kennis krijgt van een datalek. Maar wat houdt dat in: ‘kennis krijgen van een datalek’?

‘Kennis krijgen van een datalek’

Een redelijke mate van zekerheid is vereist volgens de WP29 richtlijn over datalekken:

“(…) a controller should be regarded as having become “aware” when that controller has a reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised.” (WP29 is inmiddels EDPB)

Wat betekent ‘een redelijke mate van zekerheid’ concreet? Allereerst nemen de verwerker en de verwerkingsverantwoordelijke maatregelen om incidenten snel te herkennen. Is dat niet voldoende om met een redelijke mate van zekerheid een datalek vast te stellen? Dan mag de verwerkingsverantwoordelijke kort de tijd nemen voor onderzoek (artikel 32 AVG). Tot zover geen onduidelijkheden, maar vanaf dit punt zijn er twee visies te onderscheiden.

Gangbare visie

De 72-uur termijn start wanneer een verwerker een datalek vaststelt

Hoewel de AVG zwijgt over de details is deze visie in de praktijk het meest gangbaar en daar is ook iets voor te zeggen wanneer we kijken naar de WP29 richtlijn datalekken:

“The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has become aware.”

Deze visie zou gangbaar moeten blijven aangezien het Engels de officiële taal van EU-richtlijnen is. Of zijn er argumenten voor een andere visie?

Te verdedigen visie

De 72-uur termijn start pas nadat de verwerker de verwerkingsverantwoordelijke in kennis stelt van een datalek

Dezelfde zin uit de Engelse richtlijn is in de Nederlandse WP29 richtlijn datalekken heel anders vertaald:

“(…) derhalve dient de verwerkingsverantwoordelijke in beginsel te worden geacht “kennis” te hebben gekregen zodra de verwerker hem van de inbreuk in kennis heeft gesteld.”

Deze Nederlandse vertaling is wellicht onvoldoende om over stag te gaan, aangezien de Engelse tekst leidend is.

In de toelichting bij de Standaard Verwerkersovereenkomst Gemeenten start de 72-uur termijn ook nadat de verwerker het datalek bij de verwerkingsverantwoordelijke meldt:

“If the breach occurred at the processor, therefore, and the processor informs the data controller, the data controller is not aware of the breach until that moment, and the 72-hour period starts then.”

Maar er is meer.

Onderzoek “telt niet mee”

De verwerker kan geen “kennis krijgen” van een datalek zolang zijn onderzoek nog loopt. Ook de termijn om het lek te melden aan de verwerkingsverantwoordelijke (in het VNG-model: 24 uur) start nog niet. Zie de toelichting bij de Standaard Verwerkersovereenkomst Gemeenten:

“The processor cannot be considered to be ‘aware’ of a breach, and the 24-hour period for reporting incidents does not commence, as long as the investigation is underway.”

De WP29 richtlijn datalekken sluit hierop aan. Ook de verwerkingsverantwoordelijke heeft (kort de) tijd voor een onderzoek:

“Accordingly, it should be clear that there is an obligation on the controller to act on any initial alert and establish whether or not a breach has, in fact, occurred. This brief period allows for investigation, and for the controller to gather evidence and other relevant details. However, once the controller has established with a reasonable degree of certainty that a breach has occurred, if the conditions in Article 33(1) have been met, it must then notify the supervisory authority without undue delay and, where feasible, not later than 72.”

Stappenplan: datalek bij verwerker

Het volgende stappenplan ontstaat wanneer ik bovenstaande op een rijtje zet:

• (Veronderstelde voorbereiding) De verwerker en verwerkingsverantwoordelijke implementeren individueel en gezamenlijk maatregelen om datalekken te herkennen en te voorkomen
• Er doet zich een incident voor bij de verwerker
• De verwerker valt terug op geïmplementeerde maatregelen of doet onderzoek naar het incident
• De verwerker krijgt kennis van het datalek en stelt het lek vast
• De termijn voor de verwerker om het datalek aan de verwerkingsverantwoordelijke te melden start nu! (Standaard Verwerkersovereenkomst Gemeenten hanteert 24 uur)
• De verwerker meldt het datalek bij de verwerkingsverantwoordelijke
• De verwerkingsverantwoordelijke valt terug op geïmplementeerde maatregelen of doet onderzoek naar de melding van de verwerker
• De verwerkingsverantwoordelijke stelt met redelijke mate van zekerheid vast dat er sprake is van een datalek
• De 72-uur termijn voor het melden van het datalek aan de autoriteit start nu!

Neem de tijd voor het melden van een datalek

In dit blog liet ik zien dat de 72-uur termijn pas start nadat de verwerkingsverantwoordelijke voor zichzelf heeft vastgesteld dat er sprake is van een datalek. Daarnaast mogen verwerker en verwerkingsverantwoordelijke allebei een onderzoek instellen. En de tijd die ze daaraan besteden telt niet mee voor de 72-uur termijn.

Je zou nu kunnen denken dat je als CISO of Privacy Officer rustig aan kunt doen. Vergeet niet dat je aan de toezichthouder verantwoording moet afleggen over de tijd voorafgaand aan een melding. Gebruik daarom de extra tijd om open te communiceren met verwerkers. Maak afspraken, neem maatregelen en evalueer. Hiermee voorkom je stress en onnodige meldingen aan de toezichthouder.

Heb je hulp nodig bij het opzetten van een datalekprocedure? Of wil je ondersteuning om tot goede afspraken en maatregelen met verwerkers te komen? Neem dan contact met ons op.

* Deze blog is oorspronkelijk geschreven door oud-collega Eelke de Jong