GDPR: Hoe gegevenslekken melden?

Sinds 25 mei 2018 moet elke Belgische onderneming die gegevens van EU-burgers verzamelt, in regel zijn met de GDPR. De nieuwe privacywetgeving regelt de verwerking, het beheer en de bewaring van persoonsgegevens. De GDPR verplicht deze ondernemingen ook om incidenten met persoonsgegevens te melden aan de Gegevensbeschermingsautoriteit. Het formulier voor de melding van gegevenslekken is nu beschikbaar.

De General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving die sinds 25 mei 2018 van kracht is.

Wat verstaan onder datalek?

Een datalek is elke inbreuk op de beveiliging waardoor al dan niet per ongeluk doorgezonden, opgeslagen of anderszins verwerkte gegevens worden vernietigd, verloren gaan of wijzigen. Het draait rond de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens (art. 4, 12 GDPR: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens). Gangbare voorbeelden zijn: een USB-stick met de klantendatabase is gestolen of verloren; persoonsgegevens zijn geëncrypteerd door ransomware (gijzelsoftware) en er is geen kopie; de verwerkingsverantwoordelijke is de sleutel kwijt van geëncrypteerde persoonsgegevens; een virus wist alle klantengegevens uit de database. Van zodra een onbevoegde toegang heeft tot de gegevens, kan er sprake zijn van een datalek. Kwaad opzet is geen voorwaarde om van een datalek te spreken.

Meldplicht is niet absoluut

Het melden van een datalek aan de Gegevensbeschermingsautoriteit (afgekort GBA, de nieuwe naam van de Privacycommissie) is niet altijd verplicht. Melding is alleen verplicht als het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. I.c. moet de verwerkingsverantwoordelijke het lek melden binnen de 72 uren na kennisname van het lek.
Daarnaast moet de onderneming de inbreuk melden aan de betrokkene zelf wanneer die een hoog risico loopt op schending van zijn fundamentele rechten.

Aan de melding gaat een risicoanalyse vooraf.
Kunnen de gevolgen van het gegevenslek leiden tot identiteitsdiefstal, financieel verlies of imagoschade voor de getroffen personen?
Is de kans op materiële of fysieke schade reëel? ...

Het is zeker ook geen overbodige luxe om in een register alle datalekken in de organisatie op te nemen. In dat register beschrijft de verantwoordelijke voor de verwerking van persoonsgegevens gedetailleerd het lek met een overzicht van de oorzaken, gevolgen en genomen maatregelen.

Elektronisch formulier

Gegevenslekken moeten voortaan aan de Gegevensbeschermingsautoriteit gemeld worden met een elektronisch formulier via een webportaal.

To do in 4 stappen:

Check of u de gegevenslek bij de GBA of de Vlaamse Toezichtcommissie (VTC) moet melden.

Download het elektronisch formulier als de GBA de bevoegde autoriteit is. U moet het formulier openen en invullen met een desktop of laptop; het gaat niet via een mobiel toestel.

Vul het gedownloade formulier elektronisch in via uw pc. Formulieren ingevuld met de hand en vervolgens gescand kunnen niet verzonden worden!

Verzend het ingevulde formulier via het eforms-webportaal van de GBA. Bij een geslaagde verzending ontvangt u een mail met een unieke code. Deze e-mail bewijst dat de mededeling van de contactgegevens geslaagd is.

Wanneer het gegevenslek verder onderzoek vergt, kan de organisatie hiervan een voorlopige melding doen.

Van Europese verordening naar Belgische kaderwet

De GDPR-verordening is rechtstreeks van toepassing in België maar regelt niet alles. Op 5 september ll. verscheen de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in het Belgisch Staatsblad. De bepalingen van deze kaderwet treden bijna allemaal onmiddellijk in werking. De wet verlaagt de leeftijd waarop kinderen zelf hun toestemming kunnen geven voor het verwerken van hun persoonsgegevens van 16 jaar naar 13 jaar en voert bijkomende beschermingsmaatregelen in voor genetische, biometrische en gezondheidsgegevens. Met ingang van 5 september wordt ook de bestaande Privacywet van 8 december 1992 en haar belangrijkste uitvoeringsbesluit, het koninklijk besluit van 13 februari 2001, opgeheven.

Nieuws

Als u als bedrijfsleider een lening krijgt van uw eigen vennootschap, dan kijkt de fiscus of de interest die u betaalt, marktconform is. Die marktrente wordt jaarlijks vastgelegd. De vraag is of het forfaitair berekende voordeel zonder meer geaccepteerd moet worden.

Naar goede traditie worden tegen het einde van het jaar de prijzen gepubliceerd voor de openbaarmaking van de jaarrekening in de loop van het volgend jaar. Deze prijzen zijn gekoppeld aan het indexcijfer van de consumptieprijzen en daarom is de neerlegging van de jaarrekening in 2020 enkele eurootjes duurder dan in 2019.

Als een werkgever een bedrijfswagen ter beschikking stelt van een werknemer of bedrijfsleider, dan wordt die werknemer/bedrijfsleider op het voordeel belast. De berekening van het voordeel is onder meer afhankelijk van de CO2-uitstoot van het voertuig tegenover de ‘gemiddelde uitstoot van het Belgische wagenpark’. Die gemiddelde uitstoot ging in 2019 weer een beetje omhoog en dat is goed nieuws voor wie een bedrijfswagen heeft.