/
4.2 Meld datalekken bij de VTC en de GBA
Document toolboxDocument toolbox


Cyber Response Team

4.2 Meld datalekken bij de VTC en de GBA

Owned by Raf Geuns (Unlicensed)
Last updated: 30 Nov, 2023
2 min read

Zodra blijkt dat er sprake is van eenĀ datalek, is het van belang dat dit ook gemeld wordtĀ aan de Vlaamse Toezichtcommissie (Vlaamse autoriteit) en de Gegevensbeschermingsautoriteit (Federale autoriteit).Ā Deze meldingen zijn verplicht en komen ook met een concreet tijdsinterval.

Gaat het hier over eenĀ datalek?Ā 

De GDPR-wetgeving definieert eenĀ datalekĀ of gegevenslek als ā€œeen inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.ā€ Denk hierbij bijvoorbeeld aan het verlies van een USB-stick, eenĀ ongeoorloofde toegang tot een database of een mail die verstuurd werd naar een verkeerd adres.Ā 

Je kan eenvoudig nagaan of er sprake is van eenĀ datalek, door volgende vragen te beantwoorden:Ā 

  1. Gaat het hier over persoonsgegevens?Ā Niet onbelangrijk: met persoonsgegevens bedoelt men alle gegevens die betrekking hebben op een natuurlijk persoon die rechtstreeks of onrechtstreeks geĆÆdentificeerd wordt of kan worden. Ook een nummer, zoals een IP-adres, zal dus in heel wat gevallen als een persoonsgegeven beschouwd worden.

  2. Werden deze persoonsgegevens blootgesteld aan vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang?

  3. Is deze blootstelling te wijten aan een inbreuk op de veiligheid?Ā 

Verzamel de naam en adresgegevens van getroffenen, denk hierbij aan slachtoffers van eenā€Ædatalekā€Æen inwoners waarvoor geen of slechts beperkte dienstverlening mogelijk is, en zorg ervoor dat zij zo snel mogelijk verwittigd worden. Zorg er tevens voor dat de verzamelde data veilig wordt behandeld, verstuurd en opgeslagen.

Hoe en wanneer dien je te melden?Ā 

De meldingsplicht naar de Vlaamse Toezichtcommissie en Gegevensbeschermingsautoriteit omvat datalekken die een risico inhouden betreft lekken die een risico inhouden voor de rechten en vrijheden van de betrokkenen.Ā Denk aan communicatie die niet langer confidentieel is, met zichtbare factuurgegevens en adressen voor derden.Ā 

De melding naar beide instanties dient binnen de 72 uur te gebeuren na de vaststelling van hetĀ datalek.Ā Beide instanties hebben een vast formulier voor meldingen van datalekken:Ā 

Voor de melding bundel je alle relevante informatie, denk hierbij aan:Ā 

  • Binnen welk kader worden de getroffen gegevens verwerkt?

  • Wat was de oorzaak van het gegevenslek?

  • Wat is de grootorde van het gegevenslek?

  • Wat zijn de waarschijnlijke gevolgen voor slachtoffers?

  • Datum en tijdstip van het lek, alsook van de vaststelling?

  • Welke maatregelen worden genomen om het lek en de mogelijke gevolgen aan te pakken?

  • Contactinfo van de leidende ambtenaar, DPO en andere contactpersonen?Ā 

  • ā€¦Ā 

Related content

Juridische toegang voor persoonsgegevens
Juridische toegang voor persoonsgegevens
MAGDA Gebruikersomgeving
More like this
1.9 Leg een register aan voor potentiƫle datalekken
1.9 Leg een register aan voor potentiƫle datalekken
Cyber Response Team
More like this

Dit is een document voor publiek gebruik.