Het versturen van een e-mail met persoonsgegevens naar de verkeerde ontvanger of het versturen van een loonadministratie naar de verkeerde persoon kan een datalek worden. persoonlijk met juridische gevolgen voor zelfstandigen en kleine bedrijven. De informatieplicht maakt deel uit van de verantwoordelijkheid van bedrijven om de informatie van klanten, werknemers of leveranciers te beschermen, en het niet naleven ervan kan leiden tot sancties.
In deze context herinnerde het Spaanse Agentschap voor Gegevensbescherming (AEPD) er onlangs aan dat bedrijven verplicht zijn deze inbreuken binnen een bepaalde termijn aan de controleautoriteit te melden. maximaal 72 uur omdat zij zich ervan bewust zijn dat een beveiligingsincident persoonsgegevens heeft aangetast.
Zoals uitgelegd door Ana Vidaor Maristany, advocaat op het TMT-gebied van AGM Abogados, er is geen noodzaak voor een cyberaanval geavanceerd om deze verplichtingen te laten ontstaan. “Situaties die zo vaak voorkomen als het verzenden van een e-mail met persoonlijke informatie naar de verkeerde ontvanger, het verzenden van gevoelige documenten naar de verkeerde persoon, of een apparaat verliezen met gegevens kan een inbreuk op persoonlijke gegevens vormen”, merkte hij op.
Zelfs als het bedrijf tot de conclusie komt dat het incident geen risico vormt voor de getroffenen en besluit dit niet aan de AEPD te melden, vereisen de regelgeving bovendien dat de overtreding en de uitgevoerde analyse intern worden gedocumenteerd. Met deze documentatie kunt u in het geval van een inspectie aantonen dat de verantwoordelijke voor de verwerking correct heeft beoordeeld wat er is gebeurd en heeft gehandeld met de door de AVG vereiste zorgvuldigheid.
Veel alledaagse fouten kunnen ook een datalek vormen
Een van de aspecten waar zelfstandigen en kleine bedrijven zich meestal niet van bewust zijn, is dat het niet nodig is om een geavanceerde cyberaanval te ondergaan voordat er een inbreuk op de persoonsgegevens kan plaatsvinden. In de praktijk kunnen veel incidenten die zich voordoen in het dagelijks leven van een bedrijf de verplichtingen uit de wet activeren Algemene Verordening Gegevensbescherming (AVG).
Zoals Ana Vidaor Maristany, een advocaat op het TMT-gebied van AGM Abogados, uitlegde, is een inbreuk op persoonlijke gegevens “elk beveiligingsincident dat ervoor zorgt dat de accidentele of onwettige vernietiging, verlies of wijziging van persoonsgegevens verwerkt door een verantwoordelijke, of de ongeautoriseerde communicatie of toegang voor hen.”
Dit betekent dat ogenschijnlijk kleine situaties juridische gevolgen kunnen hebben, zoals verlies van controle over beschermde informatie of het risico dat derden er zonder toestemming toegang toe krijgen. De advocaat benadrukte dat de bepalende factor niet de verfijning van het incident is, maar eerder de aard ervan potentiële impact. Een van de meest voorkomende voorbeelden die de deskundige noemde, zijn:
- stuur een e-mail met persoonlijke gegevens naar de verkeerde ontvanger
- een loonstrookje sturen of andere gevoelige documenten aan een persoon die er niet bij hoort
- ongeoorloofde toegang toestaan op informatie van interne medewerkers
- apparaten zoals een USB, een mobiele telefoon, een laptop of documentatie kwijtraken die persoonsgegevens bevatten.
Om de ernst van een inbreuk te beoordelen, moeten factoren zoals de aard van de getroffen gegevens, het sgevoeligheid, volume van gecompromitteerde informatie of mogelijk gevolgen voor de rechten en vrijheden van mensen.
Bedrijven moeten de inbreuk melden als er een risico bestaat voor de getroffenen
Wanneer zich een beveiligingsincident voordoet dat gevolgen heeft voor persoonsgegevens, moet de verantwoordelijke voor de verwerking het risiconiveau beoordelen dat dit voor de betrokkenen kan opleveren, om bepalen of er een meldingsplicht bestaat de inbreuk aan het Spaanse agentschap voor gegevensbescherming.
Zoals vermeld in de artikel 33 van de AVG Bedrijven zijn verplicht het incident te melden wanneer de kans bestaat dat het de rechten en vrijheden van mensen aantast. In dat geval moet het bedrijf de AEPD op de hoogte stellen van de overtreding in a maximale periode van 72 uur vanaf het moment dat de persoon die verantwoordelijk is voor de behandeling hiervan op de hoogte is van wat er is gebeurd. Volgens de deskundige deze periode inclusief weekenden en feestdagen.
In sommige gevallen kan de detectie van deze incidenten onmiddellijk plaatsvinden, bijvoorbeeld wanneer een document naar de verkeerde ontvanger wordt verzonden. In andere gevallen, bijvoorbeeld bij bepaalde computeraanvallen of identiteitsdiefstalfraude, kan het echter langer duren voordat het incident wordt geïdentificeerd.
Om deze reden benadrukte de deskundige het belang van bedrijven die goede beveiligingspraktijken implementeren en de opleiding van hun personeel bevorderen om dit soort situaties zo snel mogelijk op te sporen.
Als u niet tijdig handelt, kan de aansprakelijkheid groter worden
Volgens Vidaor Maristany is het niet snel reageren een van de ernstigste fouten die sommige bedrijven maken als ze een datalek detecteren. Soms, zo legde hij uit, hebben sommige managers de neiging het belang van het incident te bagatelliseren of te denken dat de gevolgen beperkt zullen zijn omdat het een klein bedrijf is.
Echter, dit Als u niet handelt, kan de aansprakelijkheid groter worden van het bedrijf. Een datalek kan de rechten en vrijheden van individuen aantasten. Daarom is de verantwoordelijke voor de verwerking verplicht om het incident te evalueren en de nodige maatregelen te nemen om het correct te beheren.
Een andere veel voorkomende fout is dat u niet vanaf het eerste moment gespecialiseerd advies inwint. Het nemen van overhaaste beslissingen of zonder technische kennis kan ertoe leiden dat bewijsmateriaal verloren gaat, dat risico's verkeerd worden ingeschat of dat de kennisgevingstermijn wordt gemist.
Zelfs als de inbreuk niet wordt gemeld, moet deze intern worden gedocumenteerd
De handelingsplicht verdwijnt niet als het bedrijf tot de conclusie komt dat het incident geen risico oplevert voor de getroffenen. In deze gevallen kan de persoon die verantwoordelijk is voor de behandeling besluiten om de overtreding niet aan de AEPD te melden of aan de betrokkenen door te geven, maar de regelgeving schrijft ook voor dat het incident gedocumenteerd moet worden.
Zoals uitgelegd door de advocaat van AGM Abogados moeten alle inbreuken op de beveiliging intern worden geregistreerd, zelfs de inbreuken die uiteindelijk niet aan de toezichthoudende autoriteit worden gemeld. Deze documentatie maakt deel uit van het principe van proactieve verantwoordelijkheid opgenomen in de AVG.
Om het besluit om niet te melden te rechtvaardigen, moet de organisatie er minimaal één aanhouden intern rapport analyse van het incident, waarin wordt beschreven wat er is gebeurd, welk onderzoek is uitgevoerd, welke maatregelen zijn genomen en waarom werd geconcludeerd dat de inbreuk geen risico inhield voor de rechten van de getroffenen.
Bovendien moet het incident worden vastgelegd in het beveiligingsleklogboek van het bedrijf, waarin wordt aangegeven welke gegevens mogelijk in gevaar zijn gekomen, hoeveel mensen getroffen kunnen zijn en wat het resultaat van de risicobeoordeling was.
Wanneer kan een datalek leiden tot een sanctie?
Wanneer er een inbreuk op persoonsgegevens plaatsvindt, stelt het Spaanse Agentschap voor Gegevensbescherming analyseert elk geval afzonderlijk om te bepalen of het opportuun is om het dossier te archiveren, een waarschuwing te geven of een sanctie op te leggen.
Zoals Vidaor Maristany uitlegde: Iedere organisatie – of het nu een groot bedrijf, een KMO of een zzp’er is – kan bestraft worden als u de verplichtingen van de RGPD niet naleeft. Het bedrag van de boete zal echter afhangen van verschillende factoren, zoals de omvang van de omzet, de ernst van het incident of de verzwarende of verzachtende omstandigheden die zich in elk geval voordoen.
Tot de meest voorkomende oorzaken die aanleiding kunnen geven tot sancties behoren: afwezigheid of ontoereikendheid van beveiligingsmaatregelen, gebrek aan adequate risicobeoordeling of het nalaten om hiervan op de hoogte te stellen toen dit verplicht was.
Er kan ook een onderzoek worden ingesteld als: betrokkene dient een claim in vóór de AEPD. In veel gevallen zijn het de gebruikers zelf die de autoriteit op de hoogte stellen van mogelijke onregelmatigheden, bijvoorbeeld wanneer zij commerciële communicatie ontvangen zonder hun toestemming te hebben gegeven of wanneer hun gegevens worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld.
Op dezelfde manier kan het Agentschap sancties opleggen wanneer de verantwoordelijke voor de verwerking oefent geen adequate controle uit over de aanbieders die namens u persoonlijke gegevens beheren. Als het incident zich voordoet bij een gegevensverwerker en de verwerkingsverantwoordelijke niet voldoende maatregelen heeft getroffen om toezicht te houden op zijn handelen, kan hij of zij ook als verantwoordelijk worden beschouwd.
Andere factoren die de situatie kunnen verergeren zijn de kloof niet hebben gedocumenteerd intern, het ontbreken van beleid en protocollen voor gegevensbescherming, het niet adequaat opleiden van personeel of het niet toepassen van elementaire technische maatregelen zoals toegangscontroles of sterke wachtwoorden.
Sancties kunnen oplopen tot 10 miljoen euro of 4% van de omzet
Het niet melden van een inbreuk op de beveiliging binnen de wettelijke termijn kan voor zelfstandigen en kleine bedrijven erg kostbaar zijn. Zoals uitgelegd in twee artikelen die al op dit medium zijn gepubliceerd, beschouwt de regelgeving inzake gegevensbescherming deze omissie als een ernstige inbreuk, die kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk cijfer hoger is.
Bovendien kan in de ernstigste gevallen de boete stijgen. Deze boetes kunnen oplopen tot 20 miljoen euro en in de In ernstigere gevallen kan de boete oplopen tot 4% van de omzet.
Zoals Vanesa Alarcón Caparrós, advocaat bij AGM Abogados, in eerdere verklaringen uitlegde: “elke sanctie hangt af van de gepleegde overtreding en de ernst ervan. Normaal gesproken zou het niet melden een ernstige overtreding van de regelgeving vormen, maar we zouden naar de details van elke zaak moeten kijken.”
Zelfstandigen, KMO’s en grote bedrijven zijn onderworpen aan hetzelfde sanctieregime, al zal het uiteindelijke bedrag afhangen van de specifieke omstandigheden.
Deze administratieve sancties van de AEPD staan los van andere mogelijke verantwoordelijkheden. Concreet kunnen ze dat deel te nemen aan de subsidiaire burgerlijke aansprakelijkheid als het incident schade veroorzaakt aan derden. Zoals Alarcón Caparrós heeft opgemerkt, kan een boete via administratieve middelen worden opgelegd en tegelijkertijd kan de getroffen persoon zijn rechten voor de rechtbank opeisen.
Hoewel het waar is dat deze schendingen Ze schrijven na twee jaar voor. Ook als na deze periode ontdekt wordt dat de zzp’er of de kmo de computeraanval niet heeft gemeld, kan hij om deze reden niet meer administratief worden bestraft.
