Hoe werkt de GDPR-melding van een datalek?

De Algemene verordening gegevensbescherming van de Europese Unie (GDPR) verandert de manier waarop organisaties met klantgegevens moeten omgaan ingrijpend. Een van de grootste verschuivingen is de nieuwe 72-uurs meldplicht voor datalekken in de GDPR, die de snelheid waarmee organisaties in geval van een inbreuk autoriteiten en getroffen klanten moeten inlichten, volledig verandert.

Mimecast Chief Trust Officer en Data Protection Officer Marc French zat onlangs samen met Mike Perkowski van TechTarget's om alle GDPR-kwesties te bespreken. Wat volgt is een transcriptie van hun discussie over de vereiste van 72 uur van de GDPR voor de melding van een datalek.

Mike Perkowski: Vertel ons eens over wie er bij een inbreuk moet worden ingelicht en wat dat voor organisaties betekent.

Marc French: Dit is dus een fundamentele verandering in de manier waarop mensen tot nu toe op inbreuken hebben gereageerd. Historisch gezien is het bij een typische inbreuk zo dat u denkt dat er iets mis is in uw organisatie en dat u op onderzoek uitgaat. Op het moment dat u erkent dat er waarschijnlijk sprake is van een incident en dat ik het de mensen moet vertellen, begint u met de kennisgeving aan de autoriteiten. De klok begint dus te lopen op het moment dat u daadwerkelijk bevestigt.

Met GDPR is het nu veel anders. Het is de tijd die je bewust wordt, en dan begint de klok te lopen. Dus als je denkt aan een langdurig onderzoek, er komt iets binnen, je bekijkt het en zegt, "hmm, zou slecht kunnen zijn, ik zal mijn analisten erop zetten," dan kan het twee of drie weken duren voordat je daadwerkelijk bevestigt dat er sprake is van een inbreuk. Op het moment dat dit binnenkomt en u zegt: "hmm, er klopt iets niet", begint de klok te lopen. Je hebt 72 uur om de melding te doen.

De kennisgeving gebeurt op twee manieren. Ten eerste moet u de lokale toezichthoudende autoriteit in het land waar u actief bent, in kennis stellen. Het kan dus zijn dat u bijvoorbeeld het Britse Information Commissioner's Office moet inlichten als het in Londen gebeurt of het Nederlandse College Bescherming Persoonsgegevens , zodra de klok 72 uur begint te tikken. Vanaf dat moment gaat u verder met uw onderzoek en afhankelijk van de aard van dat onderzoek moet u nu misschien de individuele consumenten of klanten op de hoogte brengen zodra u het daadwerkelijk hebt bevestigd. Dus, het is een soort van twee-stappen.

Het wordt zelfs nog iets ingewikkelder in situaties waarin je niet de eigenlijke verantwoordelijke voor de verwerking van de gegevens bent, maar de gegevens van iemand anders verwerkt, omdat jullie samen 72 uur hebben. Dus, als ik de verwerker voor jou ben, Mike, en ik neem jouw gegevens en voer er een actie op uit en ik vind een probleem, dan krijg ik geen 72 uur en geef ik het aan jou, want jij gaat de melding doen en jij krijgt 72 uur. Samen hebben we 72 uur, wat betekent dat voor degenen onder ons die in een bedrijf zitten waar we eigenlijk een verwerker zijn, we eigenlijk een nauwere band gaan hebben met iedereen die ons hun gegevens geeft omdat we nu moeten samenwerken aan een incident breach notification.

Het is niet silo, "Ik maak een melding, nu doe jij het." We zijn nu een veel hechtere partnerschap voor dit in de toekomst.