Laurent De Muyter
Laurent De Muyter
Laurent De Muyter is ICT-advocaat bij Jones Day
Opinie

18/07/13 om 16:00 - Bijgewerkt om 16:00

24 hours and counting

Op 26 juni nam de Europese Unie een Verordening aan ter harmonisatie van de wijze waarop telecomoperatoren inbreuken in verband met persoonsgegevens moeten melden. Ondanks het feit dat dergelijke aanmeldingsplicht al sinds 2012 bestaat, bleven de praktische modaliteiten vaag en gebeurden aanmeldingen op een weinig gecoördineerde en informele manier. De Verordening laat een verduidelijking van de contouren ervan toe.

Op 26 juni nam de Europese Unie een Verordening (611/2013) aan ter harmonisatie van de wijze waarop telecomoperatoren in de 28 lidstaten inbreuken in verband met persoonsgegevens moeten melden. Ondanks het feit dat dergelijke aanmeldingsplicht al sinds 2012 in België bestaat, bleven de praktische modaliteiten vaag en gebeurden aanmeldingen op een weinig gecoördineerde en informele manier. De Verordening laat een verduidelijking van de contouren ervan toe.

Wat moet er worden aangemeld?

Alle inbreuken op de beveiliging die resulteren in een vernietiging, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens (zoals naam, adres, emails van cliënten of hun IP adres, of hun browsergeschiedenis) worden beschouwd als een inbreuk in verband met persoonsgegevens. Dit omvat zowel situaties van "hacking" als accidentele lekken.

Wie is verplicht aan te melden?
Tegenwoordig zijn enkel de aanbieders van openbare elektronische communicatiediensten aan de regeling onderworpen, nl. vooral de telecomoperatoren en de leveranciers van internet toegang diensten. Niettemin lijdt het geen twijfel dat de door de Verordening opgelegde praktijk, op termijn, effect zal hebben op andere economische sectoren. De wijziging van Europese regels inzake de bescherming van datagegevens, die op dit moment besproken wordt in het Europees Parlement, voorziet nl. in een verruiming van de notificatieverplichting tot alle ondernemingen.

Tot wie moeten de aanmeldingen gericht worden?
We voorzien drie soorten ontvangers:


Ten eerste moet een aanmelding steeds gericht worden aan de bevoegde nationale regulator. In België is dit het BIPT. We voegen hieraan toe dat het BIPT ook ingelicht moet worden in het geval van een inbreuk op de veiligheid of integriteit van de netwerken, doch enkel in specifieke gevallen; een project van mei 2013 stelde in dit kader aanmeldingsdrempels voor.


Omgekeerd bestaat er geen drempel voor de inbreuken in verband met persoonsgegevens, zodat elke - al dan niet de tijd of in omvang beperkte - inbreuk aangemeld moet worden.

Vervolgens moet ook de abonnee van wie de data werden geschonden verwittigd worden. Er bestaan twee uitzonderingen op deze regel.

Ten eerste is er geen verwittiging vereist wanneer de data versleuteld werden, bijvoorbeeld met een standaardalgoritme, zodat ze onbegrijpelijk zijn voor derden. Ten tweede is de aanmeldingsplicht slechts noodzakelijk wanneer de inbreuk "waarschijnlijk ook gevolgen zal hebben voor de persoonsgegevens of de privacy van een abonnee of een ander persoon".

De Verordening bevat een niet-exhaustieve lijst van criteria die helpen vaststellen of dit al dan niet het geval is : het gaat onder meer om de aard en de inhoud van de desbetreffende persoonsgegevens (financiële gegevens, locatiegegevens, webbrowsergeschiedenis, e-mailgegevens, enz...), de vermoedelijke gevolgen van de inbreuk op persoonsgegevens (identiteitsdiefstal, lichamelijke schade, ernstige vernedering of aantasting van de reputatie, enz.) en de omstandigheden van deze inbreuk.

Ten laatste, in de hypothese waarin de leverancier niet rechtstreeks contractueel gebonden is aan particulieren, moet deze laatste de hierboven vermelde aanmeldingen niet doorgeven. Hij is wel verplicht de leverancier die wel contractueel verbonden is met abonnees in dit verband in te lichten.

Welke informatie moet er doorgegeven worden?
Verschillende soorten informatie moeten in de aanmeldingen worden opgenomen. Deze kunnen worden gevonden in de Bijlagen I en II van de Verordening. Elk aanmelding moet de identiteit van de aanbieder evenals zijn contactpersoon (meestal de functionaris voor gegevensbescherming) bevatten, alsook de datum en de omstandigheden van het incident. De aard en inhoud van de persoonsgegevens, de door de aanbieder genomen maatregelen om de inbreuk aan te pakken, en mogelijke negatieve gevolgen voor de abonnees, worden ook bij een notificatie gevoegd. De klanten moeten geïnformeerd worden over de aanbevolen maatregelen om mogelijke negatieve gevolgen tegen gaan.

Binnen welke termijn moet de aanmelding plaatsvinden?
Voor een notificatie naar een nationale autoriteit stelt de Verordening voor operatoren een strikte termijn vast. In alle gevallen moet een initiële notificatie gemaakt worden binnen de vierentwintig uur nadat er kennis is genomen van de inbreuk.

De verzending van bepaalde informatie kan uitgesteld worden (met maximum drie dagen volgende op de vaststelling van de inbreuk) moest deze niet onmiddellijk toegankelijk zijn. In tegenstelling tot aanmeldingen die aan de nationale autoriteit gericht zijn, bestaat er geen termijn waarbinnen de abonnee ingelicht moet worden.

Deze inlichting moet gebeuren "zonder onnodige vertraging". In sommige uitzonderlijke gevallen, wanneer de notificatie een negatief effect zou hebben op het onderzoek, kan de leverancier gerechtvaardigd zijn in het vertragen van het inlichten van de klant, doch met de voorafgaande toestemming van het BIPT.

Bestaat er een bepaald platform waarnaar aanmeldingen gestuurd kunnen worden?
Opnieuw moet men een onderscheid maken tussen aanmeldingen gericht aan het BIPT en tot particulieren. Het BIPT heeft een verplichting om een beveiligd elektronisch platform te voorzien voor de aanmelding van dergelijke inbreuken. Idealiter zou dit de vorm aannemen van een hiervoor opgemaakte internetsite.

Een dergelijke site werd al door het BIPT voorzien in een ontwerp van beslissing omtrent inbreuken op de beveiliging van netwerken. Het wordt afwachten of deze site ook bruikbaar zal zijn voor inbreuken in verband met persoonsgegevens en of deze er voor het einde van de vakantieperiode komt...

De notificatie van de abonnee is niet onderworpen aan enige vormvoorwaarden. Wel moet ze in heldere en begrijpelijke taal opgesteld worden, alsook snel en beveiligd zijn. De notificatie kan niet dienen om reclame te maken voor bijkomende diensten (bv. versterkte veiligheidsdiensten).

Zijn er sancties voorzien in geval van niet-naleving van de notificatieregels?
Het Europees recht legt op dat er een sanctieregeling moet zijn in geval van niet-naleving van de notificatieverplichting. In België resorteren dergelijke sancties onder de algemene controlebevoegdheid van het BIPT, dat, conform de hiervoor voorziene procedures, geldelijke sancties kan opleggen.

Welke praktische maatregelen kunnen getroffen worden?
De Verordening treedt in werking op 25 Augustus 2013 en zal rechtstreekse werking hebben. De operatoren beschikken dus over de vakantieperiode om maatregelen te treffen die het hun mogelijk zullen maken om aanmeldingen van inbreuken in verband met persoonsgegevens op te vangen binnen vierentwintig uren vanaf de ontdekking.

De operatoren kunnen de volgende maatregelen in acht nemen :

De ontwikkeling van interne signalisatieprotocollen naar de juridische diensten (bv. via het Intranet) Voor de multinationals, het aannemen van pan-Europese notificatieregels en procedures, om deze vervolgens nationaal of via een "one-stop-shop"-systeem toe te passen; De introductie van een interne signalisatieverplichting binnen het compliance-programma van de werknemers; en De introductie van contractuele bepalingen in de akkoorden met leveranciers gericht op een mededeling van elke inbreuk aan de adequate instantie binnen de onderneming.

Onze partners