In onze digitale wereld zijn gegevens een bijzonder waardevol bezit. Notarissen erkennen dit belang, maar zijn genoodzaakt om talrijke persoonsgegevens te verwerken om akten te authenticeren. Deze documenten bevatten vaak (gevoelige) persoonsgegevens, zoals namen, geboortedata, identificatienummers, adresgegevens, financiële informatie enzovoort. Het verzamelen en verwerken van deze gegevens brengt evenwel risico's met zich mee, zoals de mogelijkheid van een gegevensinbreuken.

De notaris als sleutelfiguur bij verwerking van persoonsgegevens

Vanwege de aard van hun werk moeten notarissen voldoen aan strikte normen voor vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens. Het verzamelen en verwerken van deze gegevens brengt namelijk risico's met zich mee, zoals de mogelijkheid van een datalek (gegevensinbreuk). Om de bescherming van persoonsgegevens te verbeteren en de transparantie te vergroten bij beveiligingsincidenten, is de meldplicht voor gegevensinbreuken ingevoerd in de Algemene Verordening Gegevensbescherming, beter gekend onder ‘AVG’ of ‘GDPR’. Deze verplichting zorgt ervoor dat de betrokkenen en autoriteiten in bepaalde gevallen op de hoogte moeten worden gebracht van dergelijke gegevensinbreuken.

Gegevensinbreuken: onbedoelde informatieblootstelling?

Een inbreuk op persoonsgegevens is een beveiligingsincident dat per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. In essentie betekent dit dat een gegevensinbreuk een incident is waarbij persoonsgegevens op een onbevoegde of onbedoelde manier worden aangetast, wat kan leiden tot het risico op negatieve gevolgen voor de betrokkenen en mogelijk ook voor de verwerkingsverantwoordelijke (notaris) of notariële medewerkers.

Enkele voorbeelden van veelvoorkomende datalekken zijn: het verlies of diefstal van een laptop, smartphone of USB-stick, een systeeminbraak door hackers, foutief verzonden e-mails, …

Enkele voorbeelden van veelvoorkomende datalekken (gegevensinbreuken) zijn: het verlies of diefstal van een laptop, smartphone of USB-stick, een systeeminbraak door hackers, foutief verzonden e-mails, fysieke inbraken op kantoor, ongeautoriseerde toegang tot (onbeveiligde online) opgeslagen gegevens, onrechtmatige opzoekingen in authentieke bronnen en interne gegevenslekken.

Wanneer moeten gegevensinbreuken gemeld worden?

Volgens artikel 33 van de AVG moet de verwerkingsverantwoordelijke een gegevensinbreuk onverwijld melden aan de bevoegde toezichthoudende autoriteit, de Gegevensbeschermingsautoriteit (GBA) in België, en waar mogelijk binnen 72 uur nadat hij kennis heeft genomen van de gegevensinbreuk. Indien de melding niet binnen 72 uur kan worden gedaan, moet deze daarenboven vergezeld gaan van de reden voor de vertraging. Het is bijgevolg belangrijk om medewerkers te sensibiliseren over gegevenslekken (gegevensinbreuken) en hen te stimuleren om incidenten onmiddellijk te melden zonder vrees voor consequenties.

Soms is het echter niet mogelijk om een datalek (gegevensinbreuk) volledig af te handelen, de nodige maatregelen te nemen en het onderzoek binnen de opgelegde termijn van 72 uur af te ronden. Dit hoeft echter geen probleem te zijn, aangezien het platform van de GBA het indienen van meerdere formulieren en het bijwerken van de melding toestaat naarmate het onderzoek vordert.

Daarentegen is het in bepaalde gevallen niet nodig om een gegevensinbreuk te melden aan de toezichthoudende autoriteit, bijvoorbeeld wanneer de gegevensinbreuk waarschijnlijk geen hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen of wanneer de gelekte gegevens zijn versleuteld. Dit kan bijvoorbeeld voorkomen wanneer een e-mail met een ontwerpakte naar de verkeerde persoon wordt gestuurd, maar de ontvanger deze onmiddellijk verwijdert en de verzender hierover informeert.

Indien de gegevensinbreuk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, moeten ook de getroffen individuen worden geïnformeerd. Deze melding moet in duidelijke en eenvoudige taal uitleggen wat er is gebeurd en welke maatregelen zijn of worden genomen om de schade te beperken. Het doel hiervan is om de betrokkenen in staat te stellen om zelf ook maatregelen te nemen om eventuele schade te beperken, bijvoorbeeld door hun wachtwoorden te wijzigen of om alert te zijn inzake phishingpogingen.

Transparantievereisten van de melding

De melding moet minimaal de volgende informatie bevatten: de aard van de gegevensinbreuk, het tijdstip van het ontstaan en van de kennisname van de gegevensinbreuk, de categorieën en het aantal betrokken personen en persoonsgegevens; een beschrijving van de waarschijnlijke gevolgen van de gegevensinbreuk; en de genomen of voorgestelde maatregelen om de gegevensinbreuk te verhelpen en toekomstige gegevensinbreuken te voorkomen. De GBA vraagt alle vereiste gegevens op in het formulier, dat beschikbaar wordt gesteld op de website van de autoriteit.

Het is de verantwoordelijkheid van de notaris om ervoor te zorgen dat alle noodzakelijke maatregelen worden genomen om het risico te beperken en te voldoen aan de meldingsvereisten

Het is de verantwoordelijkheid van de notaris om ervoor te zorgen dat alle noodzakelijke maatregelen worden genomen om het risico te beperken en te voldoen aan de meldingsvereisten conform artikel 33 van de AVG. De notaris moet alle gegevensinbreuken documenteren, inclusief de feiten van de gegevensinbreuk, de effecten ervan en de genomen corrigerende maatregelen.

Essentiële ondersteuning bij gegevensinbreuken door uw DPO

Bij een gegevensinbreuk moet de verwerkingsverantwoordelijke snel handelen, binnen 72 uur, om aan de privacywetgeving te voldoen. Het is raadzaam om onmiddellijk contact op te nemen met de DPO.

De DPO coördineert de reactie op een gegevensinbreuk door het incidentresponsplan in werking te stellen. Daarnaast geeft hij een inschatting van de aard en omvang van de gegevensinbreuk om de notaris te helpen beslissen of een melding bij de toezichthoudende autoriteit en/of betrokkenen noodzakelijk is. Hij adviseert ook over de te nemen stappen (art. 5.1.f en 32.1.b van de AVG) om verdere schade te voorkomen en de naleving van de wetgeving te waarborgen. Hij documenteert de gegevensinbreuk in het interne incidentenregister, inclusief alle details, de gevolgen en de genomen maatregelen. Indien nodig werkt hij ook samen met de toezichthoudende autoriteit voor het melden, afhandelen en verstrekken van noodzakelijke aanvullende informatie.

Zo speelt de DPO een essentiële rol in het beheer van gegevensinbreuken. Deze zorgt ervoor dat het notariskantoor voldoet aan de privacywetgeving en vermindert de impact van de inbreuk waar mogelijk. Hij adviseert de notaris bij het analyseren van de risico's en het nemen van beslissingen en maatregelen. De notaris blijft echter verantwoordelijk voor het aanleveren van informatie en het nemen van de uiteindelijke beslissing. Daarnaast is de notaris aansprakelijk voor de eventuele gevolgen die voortvloeien uit de gegevensinbreuk.

Gegevensinbreuken zijn een terugkerend fenomeen in de notariële context (beslissing GBA 52/2024)

In de juridische wereld is nauwkeurigheid en voorzichtigheid van het grootste belang, vooral wanneer het gaat om communicatie en het delen van gevoelige informatie. Binnen het notariaat hebben zich al zeer gevoelige gegevenslekken voorgedaan, zoals het per ongeluk versturen van een ontwerpakte van een schenking naar de ex-partner van de schenker, het versturen van een ontwerpakte met gevoelige informatie naar een naamgenoot, het verlies van testamenten, enzovoort.

Dit werd ook bevestigd door de GBA in beslissing 52/2024 van 3 april 2024. In deze beslissing deelt de Gegevensbeschermingsautoriteit mee dat het per ongeluk versturen van een e-mail door een notarieel medewerker naar de verkeerde ontvanger ernstige gevolgen kan hebben.

Het notariskantoor in kwestie had een e-mail verstuurd naar de erfgenamen van de erflater en een derde met als bijlagen het ontwerp van de verkoopakte en de afrekening. De bijlagen bevatten de namen, adressen, burgerlijke staten, geboortedata en rijksregisternummers van de erfgenamen, waaronder ook deze van de klager.

In het onderhavige geval werd er opgemerkt dat het notariskantoor stappen had ondernomen om de risico’s voor de rechten en vrijheden van natuurlijke personen af te wenden. De e-mail werd verwijderd en de bijlage werd niet geopend door de derde persoon.

Er werd geconcludeerd dat de verwerking van persoonsgegevens onrechtmatig was omdat deze zonder rechtsgrond per vergissing naar een derde partij waren gestuurd. De Geschillenkamer constateerde mogelijke inbreuken op artikel 5.1.a), 5.1.b) en 6.1 van de AVG, omdat de verstrekking niet overeenstemde met de oorspronkelijke verwerkingsdoeleinden en er geen rechtsgrond was voor verdere verwerking. De redelijke verwachtingen van de betrokkenen zijn hierbij van belang; de klager kon niet redelijkerwijs verwachten dat zijn gegevens met de derde partij zouden worden gedeeld, aangezien deze niet betrokken was bij de verkoop van het onroerend goed.

Naar mijn mening zijn menselijke fouten momenteel echter niet volledig te vermijden gezien de huidige stand van de technologie

Er is sprake van een inbreuk op de integriteit en vertrouwelijkheid van de persoonsgegevens, zoals bedoeld in artikel 5.1.f) en 32.1.b) van de AVG, omwille van de ongeoorloofde of onbedoelde verstrekking of toegang tot persoonsgegevens. Ook waren er onvoldoende technische en organisatorische maatregelen genomen om een dergelijke inbreuk te voorkomen.

Naar mijn mening zijn menselijke fouten momenteel echter niet volledig te vermijden gezien de huidige stand van de technologie. Recente geruststellende Europese jurisprudentie (HvJ 25 januari 2024, C-687/21, MediaMarktSaturn) heeft bovendien bevestigd dat een ongeoorloofde verstrekking van persoonsgegevens aan derden op zichzelf niet automatisch wijst op ontoereikende beveiligingsmaatregelen.

Op basis van tijdig genomen maatregelen heeft de GBA besloten dat de inbreuk waarschijnlijk geen hoog risico vormt voor de rechten en vrijheden van de betrokken personen. Hierdoor is er geen verplichting om de inbreuk te melden aan de GBA of de betrokkenen hierover te informeren. De beslissing van de Geschillenkamer is echter wel gepubliceerd op de website van de autoriteit om transparantie te bevorderen.

Hoewel er geen sanctie is opgelegd, is herhaaldelijk gewaarschuwd dat het delen van persoonsgegevens met een derde zonder wettelijke grondslag onrechtmatig is en de integriteit en vertrouwelijkheid van gegevens schendt. De notaris heeft echter adequaat gereageerd in dit geval, wat heeft bijgedragen aan het verminderen van het risico voor de betrokkenen.

Conclusie

In een sector waar vertrouwelijkheid van het grootste belang is, is het essentieel om elke vorm van communicatie met de uiterste zorg te behandelen. Gezien de aard van het notariële beroep vinden dagelijks talrijke verwerkingen van persoonsgegevens plaats. Hierdoor kan een gegevensinbreuk zich voordoen. Vergissingen zijn menselijk en helaas nog steeds onvermijdelijk.

Evenwel kan een gegevensinbreuk aanzienlijke gevolgen hebben, zowel voor de betrokkene als voor de verwerkingsverantwoordelijke. Door direct en effectief te reageren, transparant te communiceren met de betrokken partijen en de toezichthoudende autoriteit, en sterke (preventieve) maatregelen te implementeren kunnen notariskantoren de impact van dergelijke gegevensinbreuken minimaliseren en het vertrouwen van hun cliënten behouden.

Door volgens de voorschriften te handelen kunnen ernstige juridische en financiële gevolgen worden vermeden. Daarom is het des te belangrijker dat de verwerkingsverantwoordelijke (de notaris) direct contact opneemt met zijn DPO wanneer zich een gegevensinbreuk voordoet.

Aanbevelingen voor notariskantoren

• Implementeer strikte beveiligingsmaatregelen voor gegevensopslag en -verwerking.
• Sensibiliseer medewerkers over de risico’s van gegevensinbreuken en stimuleer hen om incidenten onmiddellijk te melden.
• Werk nauw samen met de DPO voor een snelle en effectieve reactie bij gegevensinbreuken.
• Documenteer alle incidenten nauwkeurig om te voldoen aan de AVG-verplichtingen.
• Informeer de betrokkenen tijdig en helder als een gegevensinbreuk een hoog risico vormt.

Charlotte Vandenhove d’Ertsenrijck, data protection officer, legal advisor privacy bij Privanot

Dit artikel is eerder verschenen in Tijdschrift Notarieel Management.