Document toolboxDocument toolbox


Cyber Response Team


4.2 Meld datalekken bij de VTC en de GBA

Zodra blijkt dat er sprake is van een datalek, is het van belang dat dit ook gemeld wordt aan de Vlaamse Toezichtcommissie (Vlaamse autoriteit) en de Gegevensbeschermingsautoriteit (Federale autoriteit). Deze meldingen zijn verplicht en komen ook met een concreet tijdsinterval.

Gaat het hier over een datalek? 

De GDPR-wetgeving definieert een datalek of gegevenslek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.” Denk hierbij bijvoorbeeld aan het verlies van een USB-stick, een ongeoorloofde toegang tot een database of een mail die verstuurd werd naar een verkeerd adres. 

Je kan eenvoudig nagaan of er sprake is van een datalek, door volgende vragen te beantwoorden: 

  1. Gaat het hier over persoonsgegevens? Niet onbelangrijk: met persoonsgegevens bedoelt men alle gegevens die betrekking hebben op een natuurlijk persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Ook een nummer, zoals een IP-adres, zal dus in heel wat gevallen als een persoonsgegeven beschouwd worden.

  2. Werden deze persoonsgegevens blootgesteld aan vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang?

  3. Is deze blootstelling te wijten aan een inbreuk op de veiligheid? 

Verzamel de naam en adresgegevens van getroffenen, denk hierbij aan slachtoffers van een datalek en inwoners waarvoor geen of slechts beperkte dienstverlening mogelijk is, en zorg ervoor dat zij zo snel mogelijk verwittigd worden. Zorg er tevens voor dat de verzamelde data veilig wordt behandeld, verstuurd en opgeslagen.

Hoe en wanneer dien je te melden? 

De meldingsplicht naar de Vlaamse Toezichtcommissie en Gegevensbeschermingsautoriteit omvat datalekken die een risico inhouden betreft lekken die een risico inhouden voor de rechten en vrijheden van de betrokkenen. Denk aan communicatie die niet langer confidentieel is, met zichtbare factuurgegevens en adressen voor derden. 

De melding naar beide instanties dient binnen de 72 uur te gebeuren na de vaststelling van het datalek. Beide instanties hebben een vast formulier voor meldingen van datalekken: 

Voor de melding bundel je alle relevante informatie, denk hierbij aan: 

  • Binnen welk kader worden de getroffen gegevens verwerkt?

  • Wat was de oorzaak van het gegevenslek?

  • Wat is de grootorde van het gegevenslek?

  • Wat zijn de waarschijnlijke gevolgen voor slachtoffers?

  • Datum en tijdstip van het lek, alsook van de vaststelling?

  • Welke maatregelen worden genomen om het lek en de mogelijke gevolgen aan te pakken?

  • Contactinfo van de leidende ambtenaar, DPO en andere contactpersonen? 

  • … 

Dit is een document voor publiek gebruik.