Richtsnoeren inzake gegevensbescherming — vraag 11

Ga terug naar de hoofdpagina van de richtsnoeren inzake gegevensbescherming voor de organisatoren

Richtsnoeren inzake gegevensbescherming — vraag 11

Wat moet u doen in geval van een inbreuk in verband met persoonsgegevens?  

Van toepassing op scenario 2, behalve wat betreft het gebruik van de bestandenuitwisselingsdienst van de Commissie

Inbreuk in verband met persoonsgegevens betekent een inbreuk op de beveiliging, met als gevolg de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verstrekte, opgeslagen of verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig.

Kennisgeving van de inbreuk in verband met persoonsgegevens

In het geval van een inbreuk in verband met persoonsgegevens moet de vertegenwoordiger van de groep organisatoren onverwijld en in beginsel niet langer dan 72 uur nadat hij er kennis van heeft gekregen, de inbreuk in verband met persoonsgegevens melden aan de bevoegde gegevensbeschermingsautoriteit, tenzij het onwaarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

De kennisgeving moet ten minste bestaan uit:

• een beschrijving van de inbreuk in verband met persoonsgegevens, met inbegrip van het aantal betrokken ondertekenaars en de categorieën van getroffen gegevens;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming (of een ander relevant contactpunt);
• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens, rekening houdend met het onderwerp; en
• de maatregelen die de verwerkingsverantwoordelijke heeft genomen om de inbreuk te verhelpen of te beperken.

Indien het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder vertraging in stappen worden verstrekt.

De vertegenwoordiger moet ook de feiten, de gevolgen ervan en de reeds genomen (of dringend te nemen) corrigerende maatregelen documenteren, waarbij hij de planning ervan moet verzorgen.

Risico’s voor rechten en vrijheden

Bovendien moeten de ondertekenaars, wanneer de inbreuk wellicht tot een groot risico voor hun rechten en vrijheden zal leiden, daarvan in kennis worden gesteld, behalve wanneer:

• door de uitgevoerde maatregelen (zoals versleuteling, mits de sleutel niet gecompromitteerd is) de gegevens onbegrijpelijk zijn geworden of de risico’s zich waarschijnlijk niet meer zullen voordoen; of
• de individuele mededeling aan de ondertekenaars onevenredig veel inspanning zou vergen. In dat geval zou in plaats daarvan een openbare kennisgeving van de inbreuk kunnen worden gedaan, waarbij de ondertekenaars worden ingelicht.

OPMERKING: 

In het geval van gegevensverwerking onder gezamenlijke verantwoordelijkheid met de Commissie, en tenzij de inbreuk in verband met persoonsgegevens te wijten is aan het gedrag van de leden van de groep organisatoren, worden de bovenstaande verplichtingen door de Commissie vervuld. Indien nodig en voor zover mogelijk moet de groep organisatoren de Commissie bijstaan bij het beheer van inbreuken in verband met persoonsgegevens.

Referenties:

• artikelen 33 en 34 AVG;
• veelgestelde vragen over gegevensbescherming van de Commissie — “Wat is een inbreuk in verband met persoonsgegevens en wat moeten wij doen in geval van een inbreuk in verband met persoonsgegevens?”