Eind oktober vond een enorm datalek plaats bij het Nederlandse sollicitatieplatform Homerun. Een hacker verkreeg daarbij toegang tot honderdduizenden sollicitatiegegevens van klanten van Homerun. Daarbij had de hacker onder meer toegang tot cv’s en sollicitatiebrieven. Homerun treedt op als verwerker voor haar klanten, te weten ondernemingen met een vacature. De klanten zijn op de hoogte gebracht. Maar wat moeten de klanten doen wanneer een verwerker van hen een datalek meldt?
Meld het datalek bij de GBA
Vooreerst is het van belang dat dit gegevenslek zo snel mogelijk wordt gemeld bij de Gegevensbeschermingsautoriteit (hierna GBA), voor zover dat nog niet is gebeurd. Op het moment dat je verwerker jouw onderneming heeft geïnformeerd over dit datalek, is de wettelijke termijn van 72 uur beginnen lopen. Hou deze termijn goed in de gaten en probeer deze zeker niet te overschrijden. Indien de datum toch overschreden wordt dient dit op het aanmeldingsformulier gemotiveerd te worden waarom het tijdstip is overschreden.
Onduidelijkheden omtrent (de impact van) het datalek zijn geen geldige reden om de termijn te overschrijden. In dit geval dient een voorlopige melding te gebeuren waarbij achteraf de bijkomende informatie moet bezorgd worden aan de GBA.
Meld het gegevenslek aan de betrokkenen
Indien er sprake is van een hoog risico voor de betrokkenen dienen alle betrokkenen wiens persoonsgegevens zijn gelekt hiervan persoonlijk geïnformeerd te worden. Er is sprake van een hoog risico wanneer bijzondere persoonsgegevens betrokken zijn of gevoelige gegevens zoals financiële gegevens, wachtwoorden... In het gegevenslek van Homerun waren onder meer loongegevens betrokken dus moeten de betrokkenen individueel op de hoogte gebracht worden door de klanten van Homerun die de tool gebruikten.
Meld het lek in het datalekregister
Een gegevenslek dient ook steeds intern geregistreerd te worden. Het is gebruikelijk om alle datalekken op te nemen in een datalekregister. De volgende informatie moet in het datalekregister staan:
Een korte omschrijving van het datalek
Datum waarop het datalek plaatsvond en de datum waarop jouw onderneming is geïnformeerd door de gehackte verwerker
Categorie van betrokkenen en de betrokken persoonsgegevens
Datum waarop het datalek is gemeld aan de Gegevensbeschermingsautoriteit en betrokkenen, en de daadwerkelijke meldingen daarvan of de reden waarom er geen melding is gebeurd
Maatregelen die zijn genomen naar aanleiding van dit datalek om de schade te beperken of toekomstige soortgelijke incidenten te voorkomen
Let op bewaartermijnen
De omvang van het Homerun-datalek is enorm. Dat komt onder andere doordat de vooropgestelde bewaartermijnen niet werden nageleefd. Het wissen van persoonsgegevens is een belangrijke maatregel om de impact van datalekken te beperken.
Bijvoorbeeld voor gegevens van sollicitanten heet de GBA geen uitdrukkelijk standpunt ingenomen over de bewaartermijn maar wordt aangeraden om de gegevens na het einde van een sollicitatieprocedure binnen de maand te verwijderen. Mits uitdrukkelijke toestemming van de sollicitant kunnen de gegevens tot een periode van maximaal 2 jaar nog bewaard worden. In Nederland heeft de Autoriteit Persoonsgegevens zich hierover wél duidelijk uitgesproken en is de bewaartermijn mits toestemming beperkt tot maximaal één jaar.
Het niet toepassen van een strikte bewaartermijn van gegevens kan ervoor zorgen dat de GBA bijkomende onderzoeken voert volgend op de aangifte datalekken en zelfs sancties zoals boetes kan opleggen, die kunnen oplopen tot 10% van de omzet van je onderneming.
Heeft je onderneming hulp nodig in verband met een datalek? Heb je een specialist IT-recht & cybersecurity nodig? De privacy-experts van Mr. Franklin schieten je direct te hulp. Je kan ons steeds bereiken per e-mail op olivier@misterfranklin.be of op het rechtstreeks telefoonnummer 0486/275305.
コメント