Een datalek bij gebruik van een GDPR Representative: Wie informeert?
De afgelopen twee maanden ben ik als juridisch stagiair bij Privacy Company onder andere bezig geweest met de internationale doorgifte van persoonsgegevens, FG taken, EU-vertegenwoordigingsverplichtingen en (de meldplicht van) datalekken. Iets binnen de laatste twee onderwerpen heeft mijn interesse gewekt.
Artikel 27 AVG: Een lokaal aanspreekpunt voor betrokken in de EU
Een belangrijke verplichting uit de AVG is artikel 27. Hierin staat dat organisaties zonder een vestiging in de EU onder bepaalde voorwaarden een ‘EU-vertegenwoordiger’ of ‘GDPR Representative’ aan moeten stellen, via een schriftelijk mandaat. Dit creëert een lokaal aanspreekpunt in de EU en bevordert een goede communicatie tussen de organisatie, toezichthouders en betrokkenen. Met het oog op Brexit groeit het belang van artikel 27 AVG, op het moment dat organisaties uit het Verenigd Koninkrijk geen vestiging hebben in de EU. De GDPR Representative is er bovenal zodat betrokkenen in de EU hun rechten effectief kunnen uitoefenen [1].
Communicatie bij een datalek
Ook de meldplicht van datalekken lijkt me een belangrijk onderdeel van de AVG en zorgt voor de bescherming van betrokkenen en hun persoonsgegevens [2]. Via artikel 33 en 34 AVG worden strenge eisen aan die meldplicht gesteld. Zo word je als organisatie geacht een ernstig datalek binnen 72 uur te melden aan de toezichthouders. Wanneer er sprake isvan een hoog risico, dienen ook betrokkenen te worden ingelicht. Bovendien staan er hoge boetes op het niet naleven van de meldplicht [3]. Sinds de introductie van de meldplicht is er een flinke stijging in het aantal meldingen bij toezichthouders. Het ligt dan ook in de lijn der verwachting dat de relevantie van de meldplicht in de aankomende jaren verder toe zal nemen. Om betrokkenen te beschermen lijkt er redelijk wat aandacht te worden besteed aan de invulling van zowel artikel 27 als artikel 33 en 34 AVG. Dit volgt bijvoorbeeld uit (online) discussies, recitals van de AVG (80 en 85-88) en richtlijnen en adviezen van de WP29 en toezichthouders van de ICO en de AP.
Communicatie van een datalek bij het gebruik van een GDPR Representative
De vraagt rijst wie er in het geval van een risicovol datalek de verantwoordelijkheid draagt om de toezichthouders en betrokkenen op de hoogte te stellen: de organisatie zonder EU vestiging, of de GDPR Representative?
Het antwoord op deze vraag lijkt mij afhankelijk van de gemaakte afspraken tussen de organisatie en de vertegenwoordiger in het schriftelijk mandaat. Maar ook bijvoorbeeld het type datalek, de communicatiekanalen van de organisatie zelf en het aantal betrokkenen en de taal die zij spreken lijken mij van invloed op wie de communicatieverantwoordelijkheden draagt.
Hoe dan ook, ik had verwacht dat er over dit onderwerp al standpunten te vinden zijn...
Wat blijkt? Voor zover ik (in korte tijd) kon beoordelen, geven zowel artikel 27 en grond 80 van de AVG, als de richtsnoeren van de EDPB [5] hier beperkt uitsluitsel over. Het wordt aanbevolen de melding te doen aan de toezichthouder van de lidstaat waar de vertegenwoordiger is gevestigd, maar het lijkt vrij te zijn wie die melding het beste kan maken, en wie het beste de communicatie jegens betrokkenen op zich kan nemen [6]. Ook in de vele Q&A’s over de GDPR Representative, zoals van de IAPP, lijkt dit thema nog beperkt behandeld. Een rondje Google bij de (overigens opvallend veel verschillende soorten) GDPR Representative aanbieders leverde ook niet veel op.
(Wanneer) komt de online dialoog op gang?
Ik snap dat dit thema wellicht de privacy prioriteiten lijst nog niet heeft gehaald. Toch valt het me op dat het thema datalek meldingen in de context van de GDPR Representative überhaupt niet genoemd lijkt te worden in de markt. Bij een eventuele zoektocht naar een vertegenwoordiger in de EU, is dit dus wel iets om naar te informeren.
Ik ben benieuwd of en wanneer de online dialoog op gang komt. Wellicht draagt deze blog daar aan bij. Hoe dan ook: Een bevinding die me de moeite waard lijkt om te delen na een leuke stage bij Privacy Company.
[1] WP29 Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) p. 26-27.
[2] Recital 85-88 AVG en Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 p. 5.
[3] Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 p. 11.
[4] WP29 Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) en Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679.
[5] WP29 Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) p.27 en Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 p. 20.
[6] Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 p. 21.