Persoonsgegevens van 100.000 Belgen gelekt door het bekomen van verkeerde Belastingaangifte voorstel 

Persoonsgegevens van 100.000 Belgen gelekt door het bekomen van verkeerde Belastingaangifte voorstel

100.000 Belgen zijn deze maand getroffen door een datalek doordat zij door een stroring bij de drukker het verkeerde voorstel voor de belastingaangifte (VVA) hebben verkregen.

De FOD-financiën doet beroep op een externe drukker om haar voorstellen voor de belastingaangifte te laten printen.  

Op zulke voorstellen wordt een eindberekening van de te betalen of ontvangen belastingen voorzien. 

In 100.000 gevallen kwam deze berekening terecht in de verkeerde envelop.

 

Gelekte persoonsgegevens

Het verkrijgen van een verkeerde VVA is op vlak van GDPR een zeer problematische zaak. 

De voorstellen bevatten namelijk de volgende gegevens: 

-de naam, 

-het inkomen 

-rijksregisternummer van de betrokkenen.

 

Deze gegevens zijn persoonsgegevens en vallen onder het toepassingsgebied van de GDPR.

 

Artikel 4, lid 1 GDPR definieert ‘persoonsgegevens’ namelijk als volgt:

“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”

Het feit dat 100.000 Belgen zulke gevoelige gegevens van andere personen hebben ontvangen is een serieuze inbreuk in verband met persoonsgegevens, men kan in deze situatie dan ook stellen dat er zich een datalek heeft voorgedaan.

 

Volgens artikel 4 van de GDPR spreekt men van een datalek wanneer de volgende situatie zich voordoet:

“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Gezien het feit dat de getroffen Belgen toegang hadden tot het rijksregisternummer, naam, voornaam en inkomsten van andere personen en het feit dat het mogelijk is om met zulke gegevens zeer veel informatie te achterhalen over een bepaald persoon, kan dit voorval zeker gekwalificeerd worden als een ongeoorloofde toegang tot doorgezonden gegevens die kan leiden tot ernstige gevolgen.

 

Datalekken moeten op basis van artikel 33 van de GDPR binnen de 72 uur na het ontdekken ervan gemeld worden aan nationale gegevensbeschermingsauthoriteit.

Ook de betrokkene moet worden geïnformeerd wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden. 

Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden 

 

De FOD Financiën meldt dat het datalek inmiddels is gemeld bij de Gegevensbeschermingsautoriteit.

De getroffen burgers kregen inmiddels ook de juiste VVA toegestuurd.

 

Hoe had dit voorkomen kunnen worden?

heb ik bedrijfsgeheim

Hoe het tot verwisselde aangifteformulieren kon komen, is niet exact geweten.  De FOD Financiën geeft enkel vrij dat de bijlagen door een storing bij de drukker verwisseld zijn.

 

Men kan zich hier de vraag stellen hoe men deze situatie had kunnen vermijden?

 

Om deze vraag te beantwoorden is het essentieel om eerst en vooral vast te stellen of de FOD-financiën en/ of de betrokken drukker überhaupt op de hoogte waren van het mogelijk bestaan van dit risico. 

Het uitvoeren van een DPIA (Data protection impact assessment)kan hierbij helpen

 

Een goed uitgevoerde DPIA geeft namelijk inzicht in de risico’s die een bepaalde verwerking van persoonsgegevens met zich meebrengt voor de betrokkenen.

Ook geeft een DPIA een overzicht van de maatregelen die uw organisatie moet nemen om deze risico’s af te dekken. 

Het is dan aan uw onderneming om die maatregelen ook daadwerkelijk te treffen.

 

Voor meer informatie over de uitvoering van een DPIA, kan U steeds beroep doen op een erkende DPO. 

 

 

 

Delen:

Meer berichten

nis2 incident aangeven

Een NIS2 incident melden

Met de invoering van de NIS2-richtlijn in de EU wordt het melden van cyber incidenten voor veel bedrijven verplicht. Dit betekent dat

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden