Wat zijn mijn juridische verplichtingen?

Author info
Cybersec 1Cybersec 2Cybersec 3Cybersec 4
Help! Mijn organisatie is gehacktUw dienstverlener wordt getroffen. Wat nu?Wat zijn mijn juridische verplichtingen?Hoe kunnen wij helpen uw cybersecurity te verbeteren?

Wanneer zich een cybersecurity incident voordoet, rusten er op een onderneming over het algemeen meerdere, zwaarwegende meldplichten. Vaak zal een onderneming moeten voldoen aan meerdere wettelijke en contractuele incidentrapporteringsplichten tegelijkertijd en zal het verplicht zijn om eenzelfde incident aan meerdere autoriteiten en/of derden te melden.

Op deze pagina vindt u een overzicht van de meest prominente incidentrapporteringsverplichtingen voor ondernemingen en enkele aandachtspunten om indachtig te houden ingeval van een cyberincident.      

A. Wettelijke verplichtingen

1. De NIS-Richtlijn

Een beveiligingsinbreuk kan aanleiding geven tot de toepassing van de meldplichten voor incidenten ingevoerd door de NIS-richtlijn.

De NIS-richtlijn heeft tot doel het algemene niveau van cyberveiligheid in de EU te verhogen. Daarom legt de richtlijn aan ondernemingen in vitale sectoren van de economie en samenleving in de EU incident meldingsplichten op. Meer bepaald, gaat het om de volgende sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg,  levering en distributie van drinkwater en digitale infrastructuur.

Aangezien deze regels in een richtlijn zijn opgenomen en dus niet rechtstreeks van toepassing zijn in de EU lidstaten, zal het nodig zijn om de specifieke tenuitvoerlegging van de NIS-richtlijn na te gaan in de rechtsgebieden die relevant zijn voor de activiteiten van uw onderneming.

1.1 Verplichtingen

Conform de NIS-richtlijn,

  • moeten aanbieders van essentiële diensten (zoals elektriciteitsbedrijven, luchtvaartmaatschappijen, spoorweginfrastructuurbeheerders, kredietinstellingen...) incidenten met aanzienlijke gevolgen voor de continuïteit van de door hen verleende essentiële diensten onverwijld aan de bevoegde autoriteit of het Computer Security Incident Response Team (CSIRT) melden;
  • moeten digitaledienstverleners (zijnde onlinemarktplaatsen, onlinezoekmachines en aanbieders van cloudcomputerdiensten) ieder incident dat substantiële gevolgen heeft voor de verlening van een door hen in de EU aangeboden dienst, onverwijld aan de bevoegde autoriteit of het CSIRT melden. De drempels om te bepalen of een incident substantiële gevolgen heeft, zijn door de Europese Commissie vastgesteld in een uitvoeringsverordening.

Let op: de begrippen “aanbieder van essentiële diensten” en “digitaledienstverlener” zijn nauwkeurig gedefinieerd, zodat er bijvoorbeeld een zorgvuldige analyse nodig zal zijn om een onderneming al dan niet als een digitaledienstverlener te kwalificeren.

1.2 Welke informatie?

Volgens de NIS-richtlijn moet de verstrekte melding informatie bevatten die de bevoegde autoriteit of het CSIRT in staat stelt te bepalen of de grensoverschrijdende impact van het incident aanzienlijk is.

Ook hier kan het nationale recht dat op uw onderneming van toepassing is echter om specifieke bijkomende informatie vragen.

2. De algemene verordening inzake gegevensbescherming

Wanneer een beveiligingsinbreuk heeft geleid tot een inbreuk in verband met persoonsgegevens (d.w.z. de vernietiging, het verlies of de wijziging, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot verwerkte persoonsgegevens), kunnen de meldplichten van de AVG van toepassing zijn.   

2.1. Verplichtingen

Conform de AVG:

  • Moet een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen  aan de bevoegde toezichthoudende autoriteit worden gemeld, tenzij het  niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Wanneer een inbreuk betrekking heeft op de persoonsgegevens van personen in meer dan één lidstaat (bv. grensoverschrijdende verwerking) en er melding moet worden gemaakt, moet de verwerkingsverantwoordelijke de leidendetoezichthoudende autoriteit daarvan in kennis stellen.

  • Moet een inbreuk in verband met persoonsgegevens die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen door de verwerkingsverantwoordelijke ook onverwijld aan de betrokkenen worden meegedeeld, tenzij één van de uitzonderingen vermeld in artikel 34.3 AVG geldt.

Houd er rekening mee dat niet alleen verwerkingsverantwoordelijken, maar ook verwerkers geacht worden gegevenslekken te melden. Zodra een verwerker kennis heeft genomen van een inbreuk in verband met persoonsgegevens die namens de verwerkingsverantwoordelijke worden verwerkt, dient deze de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren. Zodra de verwerker kennis heeft genomen van de inbreuk in verband met persoonsgegevens, wordt de verwerkingsverantwoordelijke geacht hiervan ook kennis te hebben genomen (en zal de 72-uur deadline beginnen te lopen).

2.2. Welke informatie?

Wanneer een verwerkingsverantwoordelijke besluit een inbreuk aan de toezichthoudende autoriteit te melden, zal deze minimaal het volgende moeten omschrijven:

  • De aard van de inbreuk in verband met persoonsgegevens (bv. het aantal betrokkenen en het aantal persoonsgegevensregisters in kwestie...);
  • De naam en de contactgegevens van de functionaris voor gegevensbescherming (DPO) of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft genomen/voorgesteld om de inbreuk in verband met persoonsgegevens en de eventuele nadelige gevolgen daarvan aan te pakken.

Bij de mededeling aan betrokkenen dient de verwerkingsverantwoordelijke ten minste dezelfde informatie te verstrekken.

3. Sectorale regelgeving

Naast de AVG en de NIS-richtlijn bevat sectorale regelgeving vaak ook specifieke meldingsplichten ingeval van beveiligingsincidenten. Meer in het bijzonder leggen verschillende sectorale verordeningen van de EU (en de lidstaten) meldingsplichten op die gericht zijn op bedrijven in de telecommunicatiesector, de financiële sector, de gezondheidssector...

Hieronder vindt u een aantal sectorale meldingsplichten voor beveiligingsinbreuken die van toepassing kunnen zijn op uw sector:

  • Voor de telecommunicatiesector wordt verwezen naar art. 2.4.c. van Richtlijn 2009/136 en artikel 2.2 van Verordening (EU) nr. 611/2013 van de Commissie.
  • Voor de sector van de vertrouwensdiensten verwijzen wij naar art. 19.2 van de eIDAS-verordening (EU) nr. 910/2014.
  • Voor de sector medische hulpmiddelen wordt verwezen naar art. 87 en 88 van de Verordening betreffende medische hulpmiddelen (EU) 2017/745.
  • Voor de financiële sector wordt verwezen naar art. 96 van de PSD2-richtlijn (EU) 2015/2366 (en de bijbehorende EBA-richtlijnen), alsmede de ECB/Target 2 en het ECB cyber incident reporting framework.

B. Contractuele verplichtingen

Naast de meldingsplichten die voortvloeien uit het EU- (of nationaal) recht, hebben ondernemingen in hun contracten met klanten, leveranciers en/of verzekeraars vaak ook meldingsplichten omtrent beveiligingsinbreuken op zich genomen.

Het is bijvoorbeeld niet onwaarschijnlijk dat het verzekeringscontract voor aansprakelijkheid inzake cybersecurity van uw onderneming u verplicht om elk beveiligingsincident onmiddellijk aan de verzekeraar te melden opdat eventuele schade verhaald zou kunnen worden. Bovendien kunnen uw contracten met leveranciers en klanten vereisen dat u elk beveiligingsincident moet melden dat hun systemen kan infecteren, hun gegevens of andere activa kan beïnvloeden, of uw diensten aan hen kan vertragen binnen een bepaalde termijn. Ingeval van een beveiligingsincident moeten deze contractuele meldingsplichten u ook bekend zijn en nageleefd worden, aangezien ze aanleiding kunnen geven tot boetes of andere aansprakelijkheden.

Om een beveiligingsincident te voorkomen, op te sporen en adequaat aan te pakken, is het raadzaam dat ondernemingen hun wettelijke en contractuele verplichtingen vooraf nagaan en interne processen en passende maatregelen (bijv. datastroom- en loganalysesystemen) opzetten, waaronder ook incidentresponsplannen.

Als u bijstand nodig heeft bij het implementeren van zulke maatregelen, neem dan contact met ons op via dit contactformulier.

Heeft u onmiddellijke bijstand nodig? Bel onze cybersecurity hotline.

Gerelateerd

Dit artikel is deel 3 van onze cybersecurity series:

  1. Help! Mijn organisatie is gehackt.
  2. Mijn dienstverlener is getroffen. Wat nu?
  3. Wat zijn mijn juridische verplichtingen?
  4. Hoe kunnen wij helpen uw cybersecurity te verbeteren?