10 jun
2014

Autoriteit lanceert meldingsformulieren voor gegevenslekken

Door een aanpassing van de telecomwet zijn telecombedrijven voortaan verplicht lekken van persoonsgegevens binnen de 24u te melden bij de Autoriteit en het BIPT. Om de melding van die lekken eenvoudig te laten verlopen, heeft de Autoriteit een meldingsformulier op haar website gepubliceerd. Omdat gegevenslekken steeds vaker voorkomen, lanceert de Autoriteit tegelijk ook een meldingsformulier voor lekken van persoonsgegevens buiten de telecomsector. Zij vindt het immers belangrijk om de impact van dergelijke lekken correct te kunnen inschatten en waar nodig aanbevelingen te formuleren. Bovendien verplicht een dergelijk meldingsformulier verantwoordelijken voor gegevensverwerkingen na te denken over welke gegevens zij verwerken, en hoe die beveiligd zijn.


Telecombedrijven zijn wettelijk verplicht een gegevenslek (een zogenaamde "inbreuk op persoonsgegevens") te melden binnen de 24u nadat het vastgesteld werd. Als het bedrijf in eerste instantie over weinig of geen informatie beschikt, kan het de melding wel in twee fasen opdelen. Vooral belangrijk is natuurlijk dat accuraat wordt aangegeven welke gegevens getroffen zijn, om welke hoeveelheid gegevens het gaat, en welke gevolgen het gegevenslek kan hebben voor de betrokken personen. Verder moet worden opgegeven welke veiligheidsmaatregelen het telecombedrijf had genomen vóór het gegevenslek, wat het gedaan heeft om het lek te dichten, en welke maatregelen een dergelijk gegevenslek in de toekomst zullen voorkomen. Ten slotte moet op het formulier ook vermeld worden of de personen van wie de gegevens gelekt zijn op de hoogte worden/werden gebracht over het incident, en zo ja hoe.

Op het meldingsformulier voor gegevenslekken buiten de telecomsector moet dezelfde informatie ingegeven worden. De meldingstermijn is in dit geval maximaal 48 uur. Strikt genomen is de melding van een gegevenslek buiten de telecomsector (vooralsnog) niet wettelijk verplicht, maar het is meer dan raadzaam. Op die manier kan de Autoriteit de impact van het gegevenslek namelijk inschatten samen met de verantwoordelijke voor de verwerking van de gelekte gegevens, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

Zowel het algemene meldingsformulier als dat voor de telecomsector zijn beschikbaar op de website van de Autoriteit, samen met een handleiding. Ook de aanbeveling van de Autoriteit ter voorkoming van gegevenslekken kan daar worden geraadpleegd.

Vragen? Contacteer Eva Wiertz, communicatieverantwoordelijke

 +32 (0)2 274 48 08 of +32(0)473 85 15 97

eva.wiertz@apd-gba.be