Melding van inbreuken op persoonsgegevens: praktische gids voor SaaS-teams

Melding van inbreuken op persoonsgegevens is het operationele proces waarmee een team beslist of een security- of dataincident aan een toezichthouder moet worden gemeld, aan betrokken personen moet worden gecommuniceerd, intern moet worden gedocumenteerd of naar klanten moet worden geescaleerd. Voor SaaS-teams gaat het niet alleen om de 72-uursregel. Het gaat om snel weten wat er is gebeurd, welke gegevens mogelijk geraakt zijn, of de AVG-drempels zijn bereikt, wie beslist en welk bewijs de beslissing draagt.

Volgens AVG artikel 33 moet de verwerkingsverantwoordelijke een inbreuk zonder onredelijke vertraging en waar mogelijk binnen 72 uur na kennisname melden aan de bevoegde toezichthouder, tenzij het onwaarschijnlijk is dat de inbreuk risico oplevert voor rechten en vrijheden van personen. Artikel 34 vereist aparte communicatie aan betrokkenen wanneer waarschijnlijk een hoog risico bestaat. Verwerkers moeten de verantwoordelijke zonder onredelijke vertraging informeren nadat zij kennis krijgen van een inbreuk.

Waarom dit praktisch telt

SaaS-bedrijven verwerken data via productinfrastructuur, support, analytics, CRM, betalingen, logs, backups, AI-functies en leveranciers. Een inbreuk kan daardoor snel een security-, privacy-, juridisch, klantvertrouwen- en auditprobleem worden.

De eerste uren zijn vaak rommelig. Security probeert te containen. Engineering controleert systemen. Customer success wil weten welke accounts geraakt zijn. Legal heeft feiten nodig voor de meldingsdrempel. Zonder voorbereid proces verliest het team tijd met zoeken naar beslissingsbevoegdheid.

Wanneer het geldt

De AVG definieert een inbreuk op persoonsgegevens als een beveiligingsinbreuk die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens. Het kan dus vertrouwelijkheid, integriteit of beschikbaarheid raken, niet alleen kwaadwillige hacking.

Voorbeelden zijn een productie database die door verkeerde configuratie openstaat, supporttickets naar de verkeerde klant, ongeoorloofde toegang tot logs met persoonsgegevens, een gestolen niet-versleuteld apparaat, verwijderde of beschadigde data zonder betrouwbare recovery, of een incident bij een verwerker of subverwerker.

Niet elk security incident is meldingsplichtig. Als geen persoonsgegevens betrokken zijn, gelden deze regels mogelijk niet. Als persoonsgegevens betrokken zijn maar risico voor personen onwaarschijnlijk is, kan melding aan de toezichthouder niet nodig zijn. De feiten, beoordeling, beslissing en herstelactie moeten wel worden vastgelegd.

Detectie en melding scheiden

Sterke processen scheiden vier vragen: was er een security incident, waren persoonsgegevens betrokken, bestaat risico of hoog risico voor personen, en wie moet wanneer door wie worden geinformeerd.

Security kan detectie en containment leiden, maar privacy of legal hoort de drempelbeslissing te bezitten. Product, engineering, vendor management en klantteams leveren feiten. Als de SaaS-leverancier verwerker is voor klantdata, kunnen DPA's snellere of specifiekere klantmeldingen eisen.

Bouw een beoordelingsrecord

Het beoordelingsrecord is het kernbewijs. Leg vast: detectietijd, moment van kennisname, betrokken systemen en leveranciers, categorieen data en betrokkenen, geschatte aantallen personen en records, aard van toegang, openbaarmaking, verlies of onbeschikbaarheid, containment, waarschijnlijke gevolgen, mitigatie, besluit over toezichthouder, besluit over betrokkenen, redenen voor niet-melden, owner, goedkeurder en opvolgacties.

Dit record mag evolueren. Artikel 33 staat gefaseerde informatie toe wanneer niet alles tegelijk beschikbaar is. Start dus vroeg en werk bij naarmate feiten duidelijker worden.

Maak de 72 uur operationeel

Een praktisch model: 0 tot 4 uur, bevestig of persoonsgegevens mogelijk geraakt zijn, open het record en wijs owners toe; 4 tot 24 uur, identificeer systemen, datacategorieen, personen, leveranciers, containment en gevolgen; 24 tot 48 uur, beslis over melding en maak een concept; 48 tot 72 uur, meld indien nodig, verklaar vertraging en plan aanvullende informatie; daarna, ga door met herstel, communicatie, root-cause analyse en bewijsbewaring.

Wie moet worden geinformeerd

De toezichthouder kan melding nodig hebben bij waarschijnlijk risico voor rechten en vrijheden. Betrokken personen moeten worden geinformeerd bij waarschijnlijk hoog risico. Klanten kunnen melding verlangen op basis van contracten, DPA's, security commitments of trust-center afspraken.

Communicatie aan personen moet helder zijn: aard van de inbreuk, contactpunt, waarschijnlijke gevolgen en genomen of geplande maatregelen. Dat vraagt juridische nauwkeurigheid en praktische begeleiding.

Koppel aan product- en leverancierscontroles

Melding is eenvoudiger met actuele datainventarissen, verwerkersregisters, toegangslogs, bewaartermijnen en launch reviews. Het proces moet aansluiten op incident response, verwerkingsregisters, vendor management, klantcontracten, backup en recovery, access reviews, privacy notices en corrective actions.

Veelgemaakte fouten

Veelgemaakte fouten zijn melding als laat juridisch onderwerp behandelen, het record te laat openen, klant- en verwerkerstermijnen vergeten, aannemen dat encryptie of recovery de analyse automatisch sluit, en het incident afsluiten na externe melding zonder herstel en controlverbetering.

FAQ

Wat moeten teams begrijpen?

Dat melding van inbreuken een tijdkritisch proces is met detectie, containment, risicobeoordeling, juridische besluiten, klantverplichtingen, bewijs en herstel.

Wanneer geldt dit voor SaaS-teams?

Wanneer een beveiligingsinbreuk persoonsgegevens raakt door verlies, wijziging, openbaarmaking, ongeoorloofde toegang of onbeschikbaarheid.

Wat is de grootste fout?

Wachten tot alle feiten compleet zijn voordat de beoordeling start. Open het record vroeg, wijs owners toe en werk de conclusie bij.

Bronnen

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.