chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Melden gegevenslek: Algemene informatie

    Met ingang van 25 mei 2018 geldt een meldplicht voor gegevenslekken. Deze meldplicht houdt in dat Vlaamse instanties binnen de 72 uur en zonder onredelijke vertraging een melding moeten doen bij de Vlaamse Toezichtcommissie zodra er een risico bestaat voor de fundamentele rechten en vrijheden van de betrokkenen (de mensen van wie de persoonsgegevens zijn). Soms moeten zij het gegevenslek ook meedelen aan de betrokkenen zelf. We spreken van een gegevenslek wanneer er een inbreuk op de beveiliging plaatsvond die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. 

    Veelgestelde vragen

    1. Wat is een inbreuk i.v.m. persoonsgegevens?

    De Algemene Verordening Gegevensbescherming (AVG) spreekt over een ‘inbreuk in verband met persoonsgegevens’. Het gaat om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

    Categorieën inbreuken (WP 29 Richtlijnen voor melding inbreuk i.v.m. persoonsgegevens)

    Er zijn drie categorieën inbreuken op de beveiliging (aard van een inbreuk):

      • Inbreuk op de vertrouwelijkheid
        bijvoorbeeld: een onbevoegde of onopzettelijke verspreiding van, of toegang tot, persoonsgegevens.
      • Inbreuk op de integriteit
        bijvoorbeeld: een onbevoegde of onopzettelijke wijziging of vervalsing van persoonsgegevens.
      • Inbreuk op de beschikbaarheid
        bijvoorbeeld: een onbevoegd of onopzettelijk verlies of vernietiging van persoonsgegevens.

    Een inbreuk kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
    Voorbeelden van inbreuken zijn:

      • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
      • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
      • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
    2. Moeten alle inbreuken i.v.m. persoonsgegevens verplicht gemeld worden?

    Nee. U hoeft een gegevenslek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.
    De aanbeveling van de WP 29 (in het bijzonder hoofdstuk IV) hierover, kan u helpen te bepalen of u een gegevenslek moet melden. Momenteel is er nog geen officiële Nederlandse vertaling beschikbaar.

    3. Welke inbreuken i.v.m. persoonsgegevens moeten niet verplicht gemeld worden?

    Naast het geval dat de omstandigheden uitwijzen dat de inbreuk de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Autoriteit niet hoeft in te lichten over het gegevenslek:

    - wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;

    - wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100)  getroffen is EN geen gevoelige gegevens >> bijzondere categorie van persoonsgegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.

    In geval van twijfel doet de verantwoordelijke toch best een melding bij de VTC.
    Zelfs indien de verwerkingsverantwoordelijke de inbreuk niet meldt bij de VTC, is het aangewezen een logboek bij te houden met een korte beschrijving van elke inbreuk en een verklaring voor het niet-melden ervan.

    4. Wie moet een inbreuk ivm persoonsgegevens melden bij de VTC?

    De VTC is als toezichthoudende autoriteit voor de verwerking van persoonsgegevens verantwoordelijk voor het toezicht op de toepassing van de algemene verordening gegevensbescherming door de Vlaamse instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.

    Op deze pagina vindt u een overzicht dat kan helpen bij het uitzoeken of uw organisatie een Vlaamse instantie is.

    Meldingen in andere organisaties en melding van gegevenslekken in de telecomsector dienen gemeld te worden bij de GBA.

    5. Hoe moet een inbreuk ivm persoonsgegevens gemeld worden bij de VTC?

    U kunt de melding doen via het aanmeldingsformulier in te vullen en te mailen naar contact(at)toezichtcommissie(punt)be.
    Een inbreuk kan volledig gemeld worden of, in het geval het verder onderzoek vergt, in twee delen worden gemeld: 
    - voormelding aan de VTC binnen de 72 uur;
    - volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.
    Ook bij een gedeeltelijke melding dient gebruik te worden gemaakt van het formulier, indien bepaalde informatie nog niet voor handen is, kan u dat aangeven en motiveren.

    Naar het meldformulier

    6. Binnen welke termijn moet de melding gebeuren?

    De meldingstermijn bedraagt in principe uiterlijk binnen 72 uur nadat de inbreuk werd vastgesteld. Als de verantwoordelijke voor de gegevensverwerking in eerste instantie over weinig of geen informatie beschikt, kan hij de melding wel in twee fasen opdelen: 
    - voormelding aan de VTC binnen de 72 uur;
    - volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.

    Schema melding

    7. Moet elke inbreuk ivm persoonsgegevens aan de betrokkenen worden ter kennis gegeven?

    Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. 
    De aanbeveling van de WP 29 (in het bijzonder hoofdstukken III en IV), kan u helpen te bepalen of u de betrokkenen over een inbreuk moet informeren.

    Schema melding

    8. Wat moet de kennisgeving aan de betrokkenen inhouden?

    De verantwoordelijke voor de gegevensverwerking meldt de inbreuk aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.

    Opmerking: uit AVG (artikel 34, lid 2, AVG): De kennisgeving aan de betrokken personen bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste volgende elementen:
    - naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt;
    - de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
    - de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder in voorkomend geval de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. 

    Opmerking: De VTC beveelt aan om de kennisgeving in een duidelijke taal op te stellen en te maken dat die makkelijk te begrijpen is en om tenminste de hiernavolgende informatie verstrekken:

    • naam van de verantwoordelijke voor de gegevensverwerking
    • contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen bv. de DPO
    • samenvatting van het incident
    • vermoedelijke datum van het incident
    • aard van de betrokken persoonsgegevens
    • denkbare gevolgen van het gegevenslek voor de betrokken personen
    • de maatregelen die de verantwoordelijke heeft genomen om dit gegevenslek te verhelpen en de nadelge gevolgen te beperken
    • de maatregelen die de verantwoordelijke aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.

    Algemene richtlijnen bij inbreuken i.v.m. persoonsgegevens of cybersecurity incidenten

    9. Preventieve tips om uw organisatie weerbaar te maken voor inbreuken ivm persoonsgegevens of cybersecurity incidenten

    - Stel algemene ICT gebruiksrichtlijn op
     ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid

    - Stel ICT veiligheidsverantwoordelijke aan
     Bewustmaking & controle van de toepassing

    - Bereid ICT-incidentendossier voor met :

    • plan van architectuur/ toepassingen/ databanken/interconnecties
    • Namen / tel / gsm van verantwoordelijke systeem /DB/toep
    •  Namen+ tel / gsm leveranciers HW / SW / Maintenance/BU
    • Tel Cert.be
    • Tel + permanentienummer FCCU

    Ook volgende aandachtspunten:

      • Wees duidelijk in outsourcing van maintenance: rapportering van alle interventies op afstand
      • Scherm bedrijfskritische systemen/toepassingen / data af van op Internet aangesloten netwerken !
      • Installeer recente Antivirus ; Firewall en actualiseer
      • Synchroniseer de systeemklokregelmatig
      • Activeer en controleer loggings IN en OUT
      • Voer audits uit op loggings
      • Maak en test backups en bewaar ze veilig!

    Instanties moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.
    De brochure van Cyber Security Coalition kan tot inspiratie dienen

    10. Wat moet ik doen wanneer ik een cybersecurity incident vaststel in mijn organisatie?

    Wettelijk werken – respect wetten & CAO 81

    • Finaliteit (misdrijven, economisch & financieel belang, ICT-veiligheid, gebruikersregels)
    • Proportionaliteit (minimale inbreuk op privacy, in fases)
    • Transparantie (op basis van duidelijke policy)

    Diagnose stellen / oorzaak & sporen vinden 
    Bewijsmateriaal integer bewaren

    •  Integraal, ongewijzigd met garantie

    Noodzaak om specialisten in te schakelen

    • Zeker van klacht →politie
    • Zo niet →Cert.be (zie verder)

    Bij ontvangst dreigingen

    •  reageer snel… maar niet naar afperser
    •  bewaar berichten in originele (digitale vorm)
    •  contacteer politie

    Bij effectieve incidenten:

    •  Verbreek verbinding (indien niet door aanvaller veroorzaakt)
    •  Log maximaal informatie inzake laatste ICT activiteit/tijdstip
    •  Vermijd actie op het systeem (sporen aanvaller)
    •  beveilig fysiek het systeem
    •  beperk de interne communicatie tot noodzakelijke
    •  Dien klacht in bij politie of parket

    U dient, conform de Algemene Verordening Gegevensbescherming, de inbreuk te melden bij de VTC. Deze verplichting geldt voor alle instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.

    Het is aangeraden het incident te melden bij CERT in geval van malware, een inbraak in uw website of netwerk, DDoS-aanval, botnet, phishing of een ander cyberbeveiligingsincident: https://www.cert.be/nl/een-incident-melden-form

    U kan een klacht indienen bij de politie: http://www.politie.be 

    Phishing mails kan u doorsturen naar verdacht@safeonweb.be. Meer info: https://www.safeonweb.be/wat-verdachtsafeonwebbe

    Instanties moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.
    De brochure van Cyber Security Coalition kan tot inspiratie dienen