De 72-urenregel: Hoe een GDPR datalek melden zonder extra boetes op te lopen

Een inbreuk in verband met persoonsgegevens is een beveiligingsincident dat leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of toegang tot persoonsgegevens. Volgens de artikelen 33 en 34 van de GDPR kan de manier waarop uw organisatie op een inbreuk reageert net zo veel gevolgen hebben als de inbreuk zelf. Te late of ontoereikende kennisgeving wordt behandeld als een aparte overtreding, waar vaak een eigen boete op staat.

De 72-urentijdlijn begrijpen

Krachtens artikel 33, lid 1, moet de voor de verwerking verantwoordelijke de bevoegde toezichthoudende autoriteit onverwijld, en indien mogelijk uiterlijk 72 uur nadat hij kennis heeft gekregen van een inbreuk in verband met persoonsgegevens, daarvan in kennis stellen. De klok begint niet te lopen wanneer de inbreuk plaatsvindt, maar wanneer de organisatie zich ervan bewust wordt. Dit onderscheid is van belang: een inbreuk die weken geleden heeft plaatsgevonden, maar pas vandaag is ontdekt, activeert de 72-uurs verplichting vanaf het moment van ontdekking.

Als de kennisgeving niet binnen 72 uur wordt gedaan, moet de voor de verwerking verantwoordelijke de redenen voor de vertraging opgeven. Toezichthoudende autoriteiten hebben beperkte tolerantie getoond voor ongegronde vertragingen. De Nederlandse gegevensbeschermingsautoriteit (Autoriteit Persoonsgegevens) heeft specifiek boetes opgelegd voor te late kennisgeving, en behandelt dit als een aparte overtreding krachtens artikel 83, lid 4, onder a).

Wat is een te melden schending?

Niet elk veiligheidsincident hoeft aan de toezichthoudende autoriteit gemeld te worden. Artikel 33, lid 1, kwalificeert de verplichting: kennisgeving is vereist tenzij de inbreuk waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van natuurlijke personen. Deze risicogebaseerde drempel betekent dat u elke inbreuk individueel moet beoordelen.

De EDPB-richtsnoeren 01/2021 met voorbeelden voor de melding van inbreuken in verband met persoonsgegevens bieden een nuttige taxonomie van meldbare en niet-rapporteerbare scenario's:

Waarschijnlijk te rapporteren:

• Ransomware-aanval versleutelt patiëntendossiers in ziekenhuis
• Ongeoorloofde toegang tot een klantendatabase met financiële informatie
• Verkeerd verstuurde e-mail met salarisgegevens van werknemers naar een externe ontvanger
• Gestolen laptop met onversleutelde persoonlijke gegevens
• Exfiltratie van persoonlijke gegevens door een kwaadwillende insider

Waarschijnlijk niet rapporteerbaar:

• Verloren of gestolen versleutelde laptop waarbij de versleutelingscode niet gecompromitteerd was
• Korte stroomstoring waardoor gegevens tijdelijk niet toegankelijk zijn zonder permanent verlies
• Interne verkeerd verstuurde e-mail waarbij de ontvanger gebonden is aan geheimhoudingsverplichtingen en de verwijdering bevestigt

Kies bij twijfel voor melding. Toezichthouders hebben veel meer begrip voor organisaties die een overtreding melden die een laag risico blijkt te zijn, dan voor organisaties die een overtreding niet melden die later aanzienlijk blijkt te zijn.

Vereisten voor inhoud van de kennisgeving

Artikel 33, lid 3, specificeert de minimale informatie die in een kennisgeving van een toezichthoudende autoriteit moet worden opgenomen:

1. Een beschrijving van de aard van de inbreuk, inclusief, waar mogelijk, de betrokken categorieën en bij benadering het aantal betrokkenen en de betrokken categorieën en bij benadering het aantal records met persoonsgegevens.
2. De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt.
3. Een beschrijving van de waarschijnlijke gevolgen van de schending.
4. Een beschrijving van de maatregelen die genomen of voorgesteld zijn om de schending aan te pakken, inclusief, indien van toepassing, maatregelen om de mogelijke negatieve gevolgen te beperken.

Als het niet mogelijk is om alle informatie tegelijkertijd te verstrekken, mag de informatie gefaseerd worden verstrekt (artikel 33, lid 4). Veel toezichthoudende autoriteiten accepteren een eerste kennisgeving, gevolgd door aanvullende verslagen naarmate het onderzoek vordert.

Wanneer moeten betrokkenen op de hoogte worden gebracht?

Artikel 34 legt een bijkomende verplichting op om getroffen natuurlijke personen rechtstreeks in kennis te stellen wanneer de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden inhoudt. De drempel is hoger dan voor de kennisgeving aan de toezichthoudende autoriteit: hoog risico in plaats van slechts risico.

De mededeling aan de betrokkenen moet in duidelijke en heldere taal gebeuren en moet een beschrijving bevatten van de aard van de inbreuk, de contactgegevens van de DPO, de waarschijnlijke gevolgen en de maatregelen die zijn genomen om de inbreuk aan te pakken. Rechtstreekse kennisgeving is niet vereist wanneer:

• De voor de verwerking verantwoordelijke heeft passende technische maatregelen genomen (zoals versleuteling) die de gegevens onbegrijpelijk maken voor onbevoegde personen.
• De verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen.
• Individuele kennisgeving zou onevenredig veel inspanning vergen, in welk geval een openbare mededeling of soortgelijke maatregel is toegestaan.

Uw responscapaciteit voor inbreuken opbouwen

Een effectieve reactie op inbreuken is geen improvisatie. Het vereist voorbereiding, documentatie en regelmatige tests. Het volgende raamwerk zal uw organisatie helpen om effectief te reageren wanneer zich een inbreuk voordoet:

Stap 1: Detectie en escalatie

Implementeer technische controles (inbraakdetectie, logboekbewaking, endpointdetectie) en stel duidelijke escalatiepaden vast. Elke werknemer moet weten hoe hij een vermoedelijke inbreuk intern moet melden. Stel een team samen dat reageert op inbreuken, met vertegenwoordigers van IT, juridische zaken, communicatie en het hogere management.

Stap 2: Eerste beoordeling

Beoordeel binnen enkele uren na ontdekking de aard en omvang van de inbreuk. Bepaal om welke gegevens het gaat, hoeveel personen erbij betrokken zijn, of de inbreuk nog gaande is en wat de waarschijnlijke gevolgen zijn. Op basis van deze beoordeling neemt u beslissingen over meldingen.

Stap 3: Insluiting

Neem onmiddellijk maatregelen om de inbreuk te beperken. Dit kan het isoleren van getroffen systemen, het intrekken van gecompromitteerde inloggegevens, het blokkeren van kwaadaardige IP-adressen of het activeren van back-upsystemen omvatten. Documenteer alle inperkingsmaatregelen en hun timing.

Stap 4: Kennisgeving

Stel op basis van uw risicobeoordeling binnen 72 uur uw kennisgeving aan de toezichthoudende autoriteit op en dien deze in. Als artikel 34 van toepassing is op de inbreuk, bereidt u tegelijkertijd de mededelingen aan de betrokkenen voor. Gebruik kant-en-klare sjablonen om dit proces te versnellen.

Stap 5: Onderzoek en herstel

Voer een grondige analyse van de hoofdoorzaak uit. Identificeer de kwetsbaarheid die werd uitgebuit, de controles die faalden en de maatregelen die nodig zijn om herhaling te voorkomen. Documenteer de bevindingen en voer onmiddellijk herstelmaatregelen uit.

Stap 6: Evaluatie na het incident

Voer na de onmiddellijke reactie een formele evaluatie na het incident uit met alle belanghebbenden. Werk uw procedures voor inbreuken bij op basis van de geleerde lessen. Dien uw eindrapport binnen de vereiste termijn in bij de toezichthoudende instantie.

Veelvoorkomende fouten die u moet vermijden

• Een beveiligingsincident niet herkennen als inbreuk op persoonsgegevens
• Wachten tot het onderzoek is afgerond alvorens de toezichthoudende autoriteit op de hoogte te stellen
• Onvolledige of onjuiste informatie geven in de eerste kennisgeving
• nalaten inbreuken te documenteren die als laag risico worden beoordeeld (artikel 33, lid 5, vereist een register van inbreuken voor alle inbreuken)
• Onderschatting van het risico voor betrokkenen om meldingsverplichtingen te vermijden
• Het niet informeren van betrokkenen wanneer de drempel voor een hoog risico onder artikel 34 is bereikt

Het 72-uurs meldingsvenster is krap, maar organisaties die zich van tevoren voorbereiden (met gedocumenteerde procedures, sjabloonmeldingen en een getraind team dat reageert op inbreuken) kunnen consequent aan deze verplichting voldoen. De voorbereidingskosten zijn verwaarloosbaar vergeleken met de boetes en reputatieschade die volgen op een slecht beheerde inbreukreactie.