Vanaf 25 mei2018 is de AVG van toepassing. In de AVG is een meldplicht datalekken opgenomen(artt. 32 en 33). De Artikel 29 Werkgroep heeft Guidelines opgesteld waarin zij aangeeft op welke wijze deze meldplicht moet worden geïnterpreteerd.
In deze blog worden de verschillen tussen de meldplicht onder de AVG en onze huidige meldplicht onder artikel 34a Wbp behandeld. De conclusie is dat er veel gelijkenissen zijn maar dat er ook belangrijke verschillen bestaan. De Guidelines van de Artikel 29 Werkgroep, die de meldplicht zou moeten verduidelijken, zorgen echter op een aantal punten voor onduidelijkheid.
Algemeen
De meldplicht onder de AVG lijkt op de meldplicht onder de Wbp die we sinds 1 januari 2016 kennen (art 34a), maar kent tekstueel ook een aantal belangrijke verschillen. Na de publicatie van de Guidelines on Personal data breach notification under Regulation 2016/679 (“Guidelines”) in oktober 2017, is duidelijk hoe de Artikel 29 Werkgroep van mening is dat de artikelen moeten worden uitgelegd. Deze uitleg verschilt op punten van deuitleg die de Autoriteit Persoonsgegevens (“AP”) in haar Beleidsregels meldplicht datalekken (“Beleidsregels”) heeft neergelegd ten aanzien van de meldplicht onder de Wbp.
Op dit moment is het voor organisaties nog altijd lastig om te bepalen of sprake is van een datalek en zo ja, of dat datalek moet worden gemeld. Onder de AVG lijkt dit nog minder eenvoudig te worden. De Artikel 29 Werkgroep adviseert in ditkader meermalen om een gedegen incidentresponse protocol op te stellen zodat duidelijk is welke stappen doorlopen moeten worden op het moment dat een incident wordt geconstateerd.
Drempel voor melden aan de toezichthouder
Onder de Wbp dient een datalek te worden gemeld bij de AP als er, kort gezegd, sprake is vaneen doorbreking van de beveiliging die (een aanzienlijke kans op) ernstige nadelige gevolgen heeft. Deze hoge drempel is geïmplementeerd om nodeloze melding en te voorkomen.
Onder de AVG dient ook sprake te zijn van een doorbreking van de beveiliging. Tot zover niets nieuws dus. Wel nieuw is dat “iedere inbreuk in verband met persoonsgegevens” moet worden gemeld bij de AP tenzij niet waarschijnlijk is dat deze een risico inhoudt. Er lijkt weinig twijfel over dat dit een lagere drempel is dan de drempel ‘ernstige nadelige gevolgen’ zoals die onder de Wbp geldt tot 25 mei.
Voor eendeel van de datalekken zal deze lagere drempel geen verschil maken. Indien ersprake is van een datalek waarbij ‘gevoelige gegevens’ zijn gelekt (o.a. bijzondere persoonsgegevens, financiële gegevens, wachtwoord/inlognaam combinatie) za lzowel onder de Wbp als de AVG gemeld moeten worden.
Lastiger wordt het als er geen sprake is van het lekken van bijzondere persoonsgegevens.Dan moet op grond van de ‘aard’ en ‘omvang’ van de gelekte gegevens worden bepaald of een melding vereist is. Deze afweging zou onder de AVG eerder tot een melding kunnen leiden. In de Guidelines is een aantal omstandigheden opgenomen waarmee rekening gehouden moet worden bij de beoordeling of een melding bij de AP vereist is. Deze punten blijven echter vrij algemeen zodat het voor organisaties moeilijk blijft een goede afweging te maken. Omdat de drempel tot melden onder de AVG lager wordt, zal de AP eerder met meer dan met minder meldingen te maken krijgen.
Drempel voor melden aan de betrokkene
Nadat aan de AP is gemeld, moet onder 34a Wbp worden bepaald of de betrokkene ook geïnformeerd moet worden over een datalek. Dat moet als het lek ‘waarschijnlijk ongunstige gevolgen’ heeft voor de betrokkene. Deze drempel tot melden aan de betrokkene lijkt lager dan de drempel voor melding aan de AP (‘ernstige nadelige gevolgen’ versus ‘waarschijnlijk ongunstige gevolgen’) zodat in de praktijk een melding aan de AP ook een melding aan de betrokkene zal inhouden. Dit is alleen anders indien sprake is van goede encryptie (zie hieronder).
Onder de AVG is dit anders. Een melding aan de AP moet plaatsvinden bij elk incident met betrekking tot persoonsgegevens tenzij niet waarschijnlijk is dat het datalek een risico inhoudt. Een melding aan de betrokkene dient vervolgens plaats te vinden indien het datalek waarschijnlijk een hoog risico inhoudt (art 34 AVG). Hier ligt de drempel voor melden aan de betrokkene hoger dan voor het melden aan de AP. Voor organisaties betekent dit dat na melding aan de AP een daadwerkelijke nieuwe afweging gemaakt moet worden voor melding aan de betrokkene.
Ten aanzien van het informeren van de betrokkene vermeldt de AVG in artikel 34 een drietal uitzonderingen.Als er sprake is van goede encryptie, hoeft de betrokkene niet te worden geïnformeerd. Daarnaast is informeren niet vereist als dit onevenredig veelinspanning kost. In dat geval kan worden volstaan met een openbare mededeling. In de Beleidsregels heeft de AP deze twee uitzonderingen ook al opgenomen zodat hier in de praktijk niets verandert.
De derde uitzondering is minder logisch. Indien de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om te zorgen dat het hoge risico zich waarschijnlijk niet meer voor zal doen, is melding aan de betrokkene niet vereist. Dit lijkt mosterd na de maaltijd. Er heeft een inbreuk plaatsgevonden met alle gevolgen van dien, maar omdat er achteraf maatregelen zijn genomen, is informeren niet vereist. De Guidelines nuanceren de scope van deze uitzondering. Er wordt een voorbeeld gegeven van een hacker die data heeft gestolen waarbij de hacker kan worden opgepakt voordat hij de data heeft verspreid. In een dergelijk geval heeft het datalek al plaatsgevonde nmaar zijn er dusdanige maatregelen genomen dat er geen risico op verdere verspreiding is. Op deze wijze uitgelegd voegt deze uitzondering niet veel toe aan artikel 34 AVG. Als de hacker niets met de gegevens heeft kunnen doen, is er geen sprake van een hoog risico voor betrokkenen zodat de melding ook al op basis daarvan niet vereist zou zijn.
Gelaagde Structuur
Artikel 34a Wbp kent een gelaagde structuur. Eerst moet een organisatie bepalen of een lek aande AP moet worden gemeld. Indien dit niet het geval is, is de kous af. Er hoeftdan niet te worden gekeken of een melding aan de betrokkene vereist is.
De Guidelines lijken deze gelaagde structuur in stand te houden en kennen toezichthouders zelfs een soort adviserende rol toe. Toezichthouders kunnen meldendeorganisaties adviseren over het informeren van betrokkenen. Deze adviserende taak wordt overigens direct weer ingeperkt doordat de Guidelines vermelden dat de meldende partij zelf volledig verantwoordelijk blijft voor het al dan niet melden aan de betrokkene. Er kan niet worden gewacht op een eventueel adviesvan de toezichthouder. Sterker nog, de Guidelines geven aan dat onder specifieke omstandigheden juist eerst aan de betrokkene moet worden gemeld voordat de toezichthouder wordt geïnformeerd.
Van een gelaagde structuur zoals onder de Wbp is dus geen sprake meer. Naast debeoordeling of het datalek aan de AP moet worden gemeld, moet tegelijkertijd worden bepaald of de betrokkene niet eerst geïnformeerd moet worden.
Termijn voor melding
Artikel 33AVG bepaalt dat een melding aan de toezichthouder in beginsel binnen 72 uurmoet plaatsvinden (dit is hetzelfde onder de Wbp). Van belang is om te bepalen wanneer deze termijn gaat lopen.
Onder de Wb pgaat de 72 uur termijn lopen vanaf het moment dat de verantwoordelijke of de bewerker kennis krijgt van een incident dat mogelijk een datalek is onder artikel 34a Wbp. Bij elke ontdekking van een incident begint de klok dus te lopen. Bezwaar hiertegen is dat de verantwoordelijke in de problemen komt als de bewerker niet snel genoeg meldt. Dit kan er toe leiden dat er voor de zekerheid een melding wordt gedaan om de termijn te halen. De melding kan dan later weer worden ingetrokken. Dit is niet in lijn met de wens van de wetgever om nodeloze melding zo veel mogelijk te voorkomen. Voordeel is daarentegen dat er geen discussie kan ontstaan over het moment waarop de termijn gaat lopen.
De AVG hanteert een andere structuur. Artikel 33 bepaalt dat de 72 uur termijn gaat lopen op het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van (“aware is”) een datalek dat gemeld moet worden. Er moet volgens de Guidelines sprake zijn van een ‘reasonable degree of certainty’ dat het datalek gemeld moet worden. Om tot deze mate van zekerheid te komen, heeft de verantwoordelijke een ‘short period of investigation’ om te bepalen of het incident gemeld moet worden.
Dit betekent dat i) het starten van de termijn niet afhankelijk is van een ontdekking door de bewerker en ii) de verwerkingsverantwoordelijke in bepaalde gevallen tijd heeft om te bepalen of er sprake is van een datalek voordat de termijn start. Dit geeft de verwerkingsverantwoordelijke meer tijd maar zorgt er tevens voor dat de termijn niet meer op een vast moment start. Organisaties moeten bepalen wanneer ze geacht worden ‘aware’ te zijn.
De Artikel29 Werkgroep compliceert het een en ander verder. De Guidelines geven namelijk aan dat de verwerker een verlengstuk is van de verwerkingsverantwoordelijke. Dit betekent dat het moment waarop de verwerker ‘aware’ wordt, de verwerkingsverantwoordelijk ook geacht wordt ‘aware’ te zijn. De 72 uur gaat in dat geval al lopen vanaf ontdekking door de verwerker.
Bi jontdekking van een incident door de verwerker (hetgeen vaak het geval zal zijn)moet eerst bepaald worden of de verwerker ‘aware’was. Zo ja, dan is de verwerkingsverantwoordelijke dat ook en begint de 72 uur termijn op dat moment. Zo nee, dan moet worden bepaald of de verwerkingsverantwoordelijke ‘aware’ is op het moment dat hij de melding ontvangt. Als dat zo is, heeft hij 72 uur om te melden. Zo niet, dan heeft hij een beperkte tijd om het incident te onderzoeken. Als hij ergens gedurende dit onderzoek ‘aware’ wordt, start de 72 uur termijn op dat moment.
Overigens is de uitleg van de Artikel 29 Werkgroep dat de 72 uur gaan lopen zodra de verwerker ‘aware’ is, slecht te rijmen met artikel 33 AVG. Het betekent immers dat de verwerker zelfstandig moet bepalen of er sprake is van een datalek dat gemeld moet worden. Die afweging hoort echter niet door de verwerker te worden gedaan, maar dient bij de verwerkingsverantwoordelijke te liggen.
Encryptie
Artikel 34lid 3 AVG vermeldt dat een melding aan de betrokkene niet is vereist als de persoonsgegevens die zijn gelekt op een juiste manier zijn versleuteld. In de Beleidsregels gaat de AP hier ook uitgebreid op in zodat er op dit punt niets lijkt te veranderen.
Ook hierzorgt de Artikel 29 Werkgroep echter weer voor verwarring. In de Guidelines geeft zij namelijk aan dat, indien de encryptie goed is, er ook geen melding aan de toezichthouder hoeft te worden gedaan.
Op zich valt er iets voor deze uitleg te zeggen. Als er sprake is van goede encryptie, zijn er immers geen risico’s (of ernstige nadelige gevolgen) voor de bescherming van persoonsgegevens. Betoogd kan worden dat er in dat geval überhaupt geen melding vereist is.
Deze uitleg strookt echter slecht met artikel 34 lid 3 AVG. De uitzondering in het kader van encryptie is namelijk opgenomen in het artikel over melding aan de betrokkene. Hieruit kan worden afgeleid dat een datalek van versleutelde gegevens wel gemeld moet worden aan de AP. Artikel 33 AVG bevat immers geen uitzondering voor gelekte versleutelde gegevens.
Tijdelijke ontoegankelijkheid
Ook bij het laatste hier te behandelen verschil tussen de meldplicht datalekken onder de AVG en die onder de Wbp, speelt de Artikel 29 Werkgroep een weinigverhelderende rol. In de Guidelines wordt aangegeven dat tijdelijke niet-beschikbaarheid van persoonsgegevens onder omstandigheden ook een datalek is dat gemeld moet worden. Een voorbeeld is een ziekenhuis waar de systemen plat liggen door een DDOS aanval hetgeen tot gevolg heeft dat er tijdelijk geen operaties uitgevoerd kunnen worden. Er zijn geen persoonsgegevens verloren gegaan, er is niets ingezien of gekopieerd maar de gegevens zijn simpelweg tijdelijk niet beschikbaar. Het mislopen van een geplande operatie treft de betrokkene in zijn persoonlijke levenssfeer zodat er sprake is van een datalek,aldus de Guidelines.
Deze uitleg van de Artikel 29 Werkgroep strookt naar mijn mening niet met de AVG. De definitie van een inbreuk met betrekking tot persoonsgegevens is als volgt:
“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;”
Ik zie niet in hoe een tijdelijke ontoegankelijkheid van gegevens, zonder dat deze zijn vernietigd of anderszins onrechtmatig zijn verwerkt, onder deze definitie kan vallen.
In de Guidelines wordt aangegeven dat hier slechts sprake van is als de tijdelijke ontoegankelijkheid verstrekkende gevolgen heeft voor de betrokkenen, wat zich niet snel zal voordoen. Als de website van een retailer even down is, zal inbeginsel geen sprake zijn van een datalek. Desalniettemin gaat deze interpretatie van de Artikel 29 Werkgroep naar mijn mening te ver.
De conclusie is dat de meldplicht datalek onder de AVG in combinatie met de uitleg in de Guidelines, het voor organisaties nog minder eenvoudig maakt om te bepalen of een datalek gemeld moet worden. Een goed Incident Response Protocol is in ieder geval een must.
Lees hier de Guidelines van de Artikel 29 Werkgroep.