De verwerkingsverantwoordelijke heeft naast de meldplicht ook de verplichting een overzicht bij te houden van dergelijke inbreuken. Dit overzicht, dat volgens de Autoriteit Persoonsgegevens minimaal een jaar moet worden bewaard, bevat in ieder geval de feiten en gegevens omtrent de aard van de inbreuk en, indien van toepassing, de tekst van de kennisgeving aan de betrokkene.

Volgens de Algemene Verordening Gegevensverwerking die vanaf 25 mei 2018 van toepassing is, moet een inbreuk in verband met persoonsgegevens worden gemeld aan de toezichthoudende autoriteit, “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Indien dit een hoog risico betreft, dan dient ook de betrokkene op de hoogte te worden gesteld. Dit dient “onverwijld” te gebeuren.

De plicht tot het bijhouden van een overzicht is ook expliciet opgenomen  in de Verordening. De verwerkingsverantwoordelijke dient “alle inbreuken in verband met persoonsgegevens” te documenteren. Het dient te gaan om “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Hieronder valt dus óók een inbreuk op de beveiliging die géén (aanzienlijke kans op) ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Dit betekent dat iedere inbreuk op de beveiliging van persoonsgegevens moet worden vastgelegd, ongeacht of een meldplicht bestaat.

In de documentatie moeten de feiten omtrent de inbreuk worden opgenomen, de gevolgen daarvan en de genomen corrigerende maatregelen. Over de bewaartermijn zwijgt de Verordening…

Het is dus van belang dat u nu al nadenkt over de wijze waarop u straks zo praktisch en goed mogelijk beveiligingsinbreuken met betrekking tot persoonsgegevens gaat documenteren. Het niet-naleven van de documentatieplicht kan immers tot flinke boetes leiden.

Vragen?

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.