Privacy Friendly

Opinie

Datalekken & de termijn van 72 uur

29 maart 2019, 17:55

Nog steeds bestaat er discussie over de vraag of de tijd die Verwerker neemt voor het melden van een datalek aan Verwerkingsverantwoordelijke af gaat van de 72 uur die Verwerkingsverantwoordelijke heeft. Dat is vreemd, want art. 33 lid 1 AVG is vrij duidelijk:

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen [...] Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

Ten eerste is het natuurlijk zaak om de melding zo snel mogelijk te doen en dus zonder onredelijke vertraging. Het liefst natuurlijk eerder dan 72 uur: dat is nadrukkelijk een maximale termijn.

Ten tweede is de termijn van 72 uur dus de termijn voor Verantwoordelijke: art. 33 lid 1 zegt nadat hij. Ingeval van een Inbreuk bij een Verwerker begint de termijn dus op het moment waarop de Verantwoordelijke kennis neemt van de melding.

De tijd die Verwerker nodig heeft om de Inbreuk vast te stellen en de melding op te stellen gaat dus niet af van de 72 uur die de Verantwoordelijke heeft. Dat is een heel belangrijk punt omdat er onder die Verwerker nog allerlei subverwerkers kunnen hangen. Als de Verwerker (op basis van een strenge verwerkersovereenkomst) een termijn van 24 uur krijgt, is er (te) weinig tijd voor overleg en onderzoek met die subverwerkers. In het geval van meerdere sub(subsub)verwerkers houdt je dan niets meer over. Zo werkt de AVG helemaal niet. We hoeven geen extreme termijnen aan de Verwerker en zijn subverwerkers te stellen: als Verantwoordelijke heb je gewoon altijd (maximaal) 72 uur.

Sterker nog: die 72 uur start op het moment van kennisname. Stel je voor:

  • Subverwerker bemerkt een Inbreuk op maandag om 17:03.
  • Conform de subverwerkingsovereenkomst vind melding binnen 48 uur plaats aan Verwerker op woensdag om 17:02.
  • Verwerker meldt conform de termijn van 48 uur in de verwerkersovereenkomst de Inbreuk aan Verantwoordelijke op vrijdag om 17:01.
  • Verantwoordelijke neemt kennis van de melding op maandag om 09.00.
  • Verantwoordelijke stelt vast dat het inderdaad om een datalek gaat op maandag om 12.00.
  • Termijn voor de meldplicht verloopt op donderdag om 12.00.

Extreem voorbeeld, maar volgens mij is er in dit scenario juridisch niets aan de hand. Anderhalve week. Nog sterker nog: als de Verantwoordelijke zich kan beroepen op het indien mogelijk uit lid 1 kan de termijn nog langer worden.

Natuurlijk: de Verwerker moet "zonder onredelijke vertraging" melden aan de Verantwoordelijke (art. 33 lid 2). In bovenstaand voorbeeld nemen de Verwerkers de maximale tijd die zij onder de (sub)verwerkersovereenkomsten hebben en dat zal alleen redelijk zijn als zij die tijd nodig hebben om vast te stellen dat er een datalek plaatsvond. Natuurlijk kun je je ook afvragen of het redelijk is dat een melding een heel weekend kan blijven liggen. Echter is niet iedere Verantwoordelijke of Verwerker een professioneel bedrijf - naar mijn idee vergeten wij dat wel eens.

Zelfs op het moment dat de Verantwoordelijke de melding heeft gelezen hoeft de 72 uur nog niet te starten. De EDPB (voorheen WP29) geeft nog ruimte voor de Verantwoordelijke om zelf onderzoek te doen en na te gaan of het daadwerkelijk om een datalek gaat. Bijvoorbeeld om te controleren of er daadwerkelijk persoonsgegevens in de gelekte gegevens zaten: het is mogelijk dat de Verwerker dat niet kan nagaan. In deze opinie stelt de EDPB:

Nadat de verwerkingsverantwoordelijke voor het eerst door een persoon, een mediaorganisatie of een andere bron op de hoogte is gebracht van een mogelijke inbreuk, of wanneer hij zelf een veiligheidsincident heeft ontdekt, kan hij een kort onderzoek instellen om vast te stellen of er al dan niet daadwerkelijk een inbreuk heeft plaatsgevonden. Zolang dit onderzoek loopt, kan de verwerkingsverantwoordelijke niet worden geacht "kennis" te hebben gekregen. Er wordt echter verwacht dat het eerste onderzoek zo spoedig mogelijk begint en dat op basis daarvan met een redelijke mate van zekerheid wordt vastgesteld of een inbreuk heeft plaatsgevonden; daarna kan een gedetailleerder onderzoek volgen.

Doordat de verwerker verplicht is zijn verwerkingsverantwoordelijke in kennis te stellen, kan de verwerkingsverantwoordelijke de inbreuk aanpakken en bepalen of hij al dan niet verplicht is de toezichthoudende autoriteit overeenkomstig artikel 33, lid 1, en de getroffen personen overeenkomstig artikel 34, lid 1, in kennis te stellen. De verwerkingsverantwoordelijke kan ook een onderzoek naar de inbreuk instellen, aangezien de verwerker mogelijk niet in staat is alle relevante feiten met betrekking tot de zaak te kennen [...]

Die 72 uur start dus op het moment dat de Verantwoordelijke weet dat er daadwerkelijk een datalek heeft plaatsgevonden. Er is dan nog maximaal 72 uur om vast te stellen om welke data en welke betrokkenen het gaat en om te besluiten of het datalek onder de meldplicht valt. Volgens de EDPB:

Gedurende deze periode dient de verwerkingsverantwoordelijke het waarschijnlijke risico voor personen te beoordelen om na te gaan of de meldingsplicht geldt en welke actie(s) nodig is (zijn) om de inbreuk aan te pakken.

Het punt is natuurlijk niet dat we de melding zo ver mogelijk willen uitstellen. Het punt is dat er meerdere partijen in de keten kunnen zitten, dat we realistisch moeten zijn en dat er (in redelijkheid) weldegelijk ruimte is voor onderzoek voorafgaand aan een melding. Bij de Verwerker en ook bij de Verantwoordelijke. Dat onderzoek naar een Inbreuk is waardevol en levert niet een risico voor Verantwoordelijke op. De Verantwoordelijke heeft zelfs expliciet baat bij gedegen onderzoek, omdat het uiteindelijk zijn melding bij de AP gaat worden.

Als je met mij eens bent dat de termijn voor de Verwerker niet af gaat van de termijn voor Verantwoordelijke, kunnen we een boompje opzetten over wat dan een redelijke maximale termijn is voor de Verwerker om een Inbreuk te melden. In verwerkingsovereenkomsten zie ik termijnen van 48 uur, van 24 uur en soms zelfs van 16 uur. Volgens mij is dat allemaal bedacht in de veronderstelling dat we die 72 uur moeten 'verdelen'. Ten onrechte dus.

De EDPB zegt daarover:

In de AVG wordt geen specifieke termijn vermeld waarbinnen de verwerker de verwerkingsverantwoordelijke moet waarschuwen, behalve dat hij dit "zonder onredelijke vertraging" moet doen. Daarom beveelt de [EDPB] aan dat de verwerker de verwerkingsverantwoordelijke onverwijld in kennis stelt, waarbij nadere informatie over de inbreuk in stappen wordt verstrekt naarmate meer details beschikbaar komen. Dit is van belang om de verwerkingsverantwoordelijke te helpen zijn verplichting om de inbreuk binnen 72 uur aan de toezichthoudende autoriteit te melden na te komen. Zoals hierboven is uiteengezet, dient in het contract tussen de verwerkingsverantwoordelijke en de verwerker te worden gespecificeerd hoe aan de in artikel 33, lid 2, gestelde eisen, naast andere bepalingen in de AVG, moet worden voldaan. Dit kan onder meer inhouden dat de verwerker de verwerkingsverantwoordelijke in een vroeg stadium in kennis moet stellen, wat op zijn beurt de verplichting van de verwerkingsverantwoordelijke om de inbreuk binnen 72 uur aan de toezichthoudende autoriteit te melden, ondersteunt.

Laten we gaan voor kwalitatieve meldingen en de Verwerker (inclusief zijn subverwerkers!) gewoon een realistische termijn geven. Om paniekmeldingen te voorkomen en om Verwerkers (en hun subverwerkers) de tijd te geven voor feiten-onderzoek. Je hebt er als Verantwoordelijke helemaal geen last van en het komt de kwaliteit (en het stressniveau) ten goede.

Waarom geven we de Verwerker niet ook gewoon een (maximale) termijn van 72 uur na kennisname in de verwerkingsovereenkomst? Dan ontstaat er wat meer ruimte voor onderzoek, contact met sub(sub)verwerkers en impactanalyse. Denk vooral ook aan de situatie dat bij een subverwerker (hostingpartij) logging data moet worden opgevraagd en worden geanalyseerd. Minder stress voor iedereen en (vooral) betere meldingen.

In die gedachte: wees ook eerlijk over jouw eigen bereikbaarheid. De gemiddelde Verantwoordelijke is op zaterdagochtend om 07.00 bijzonder slecht bereikbaar voor een melding. Dan heeft een termijn van 24 uur of zelfs nog korter helemaal geen zin.

Voetnoot:

De bron van de verwarring ligt vermoedelijk in de Beleidsregels Meldplicht Datalekken van de AP. Daarin staat:

De termijn voor het melden van het datalek begint te lopen op het moment dat uzelf, of een bewerker die u heeft ingeschakeld, op de hoogte raakt van een incident dat mogelijk onder de meldplicht datalekken valt.

Die beleidsregels uit 2015 gelden niet meer (AP) na inwerkingtreding van de AVG. Die beleidsregels leverden al discussie op, omdat 34a Wbp het alleen had over "onverwijld" voor de Verantwoordelijke, waar de Bewerker aan mee moest werken (art. 14). Dat "mogelijke datalek" stond ook niet in art 34a: net als onder de AVG ging het onder de Wbp ook alleen over daadwerkelijke datalekken. Maar dat is een ander onderwerp.