Gecoördineerde bekendmaking van kwetsbaarheden (CVD)

Een CVD-beleid of een beloningsprogramma (bug bounty) voor het ontdekken van kwetsbaarheden is een vorm van overeenkomst waarin de contractuele bepalingen worden vastgelegd door de verantwoordelijke organisatie betreffende een specifiek informatiesysteem en vervolgens worden aanvaard door de deelnemer wanneer deze vrijelijk besluit deel te nemen aan het opgezette programma. De goedkeuring van een dergelijk beleid verduidelijkt de juridische situatie van de deelnemers door hen in staat te stellen, mits de in het beleid vastgestelde voorwaarden worden nageleefd, het bestaan van een voorafgaande toestemming voor toegang tot de betrokken IT-systemen en dus de afwezigheid van een illegale inbreuk aan te tonen (zie Gids voor gecoördineerde bekendmaking van kwetsbaarheden. Deel II: Juridische aspecten).

Sinds de invoering van de wettelijke meldingsprocedure in 2023 kan het CCB ook meldingen ontvangen van potentiële kwetsbaarheden van ICT-producten of ICT-diensten die onder het Belgische recht vallen (zelfs wanneer de organisatie geen CVD-beleid of bug bounty-programma heeft). Deze wettelijke procedure kan ook worden toegepast in het kader van een bestaand CVD-beleid of een beloningsprogramma. Indien de onderzoeker echter aanspraak wil maken op wettelijke bescherming, moet hij bepaalde voorwaarden in acht nemen, waaronder een strikte beperking tot noodzakelijke en evenredige maatregelen, het ontbreken van frauduleuze bedoelingen of kwaadwilligheid, en de melding en rapportage aan de verantwoordelijke organisatie en aan het CCB. Voor meer informatie, zie onze pagina Bekendmaking van kwetsbaarheden aan het CCB.

Buiten de bovenstaande procedure is het niet legaal om informatie over kwetsbaarheden in computers of "exploits" (computerprogramma's die gebruikmaken van de kwetsbaarheid) die zijn verkregen als gevolg van een ongeoorloofde inbreuk op een computersysteem, te bewaren (delen of verkopen), zelfs als de persoon in kwestie niet verantwoordelijk is voor de ongeoorloofde inbreuk.

Het gebruik van de wettelijke procedure voor het melden van kwetsbaarheden is niet verplicht, maar wordt wel sterk aangemoedigd, omdat de onderzoeker hierdoor in voorkomende gevallen kan profiteren van rechtsbescherming (strafrechtelijk en civielrechtelijk). Als de onderzoeker zich niet houdt aan de voorwaarden van de wettelijke procedure voor het melden van kwetsbaarheden of aan die van het toepasselijke CVD-beleid/bug bounty, kan hij of zij mogelijk aansprakelijk worden gesteld bij het zoeken naar en melden van een kwetsbaarheid.

Opgemerkt moet worden dat onderzoekers die tijdens hun onderzoeksactiviteiten geen strafbare feiten plegen (zoals vermeld in punt C. op onze pagina over melding van kwetsbaarheden), niet noodzakelijkerwijs de bescherming van het wettelijk kader nodig hebben, aangezien zij geen strafrechtelijke aansprakelijkheid dragen.

Een CVD-beleid is een reeks regels die vooraf zijn vastgesteld door een organisatie die verantwoordelijk is voor informatiesystemen, waarbij deelnemers (of "ethische hackers") met goede bedoelingen toestemming krijgen om te zoeken naar mogelijke kwetsbaarheden in haar systemen of om relevante informatie hierover door te geven. Deze regels, die doorgaans op een website worden gepubliceerd, vormen een wettelijk kader voor samenwerking tussen de verantwoordelijke organisatie en de deelnemers aan het beleid. Zij moeten de vertrouwelijkheid van de uitgewisselde informatie waarborgen en een verantwoord en gecoördineerd kader bieden voor de bekendmaking van ontdekte kwetsbaarheden. Het begrip "bekendmaking" moet dus niet noodzakelijkerwijs worden opgevat als een openbaarmaking van de kwetsbaarheid, maar als de bekendmaking door de deelnemer aan de verantwoordelijke organisatie.

Terwijl de bekendmaking van de kwetsbaarheid door de deelnemer aan de verantwoordelijke organisatie verplicht is, is de openbaarmaking van de kwetsbaarheid (door de deelnemer of de betrokken organisatie) daarentegen facultatief in het kader van een CVD-beleid. Een kwetsbaarheid kan namelijk leiden tot een onverwacht of ongewenst voorval en kan door kwaadwillende derden worden misbruikt om de integriteit, authenticiteit, vertrouwelijkheid of beschikbaarheid van een systeem te schenden of schade te veroorzaken.

In België is het ook toegestaan om potentiële kwetsbaarheden op te sporen en te melden die betrekking hebben op een ICT-product (een element of groep elementen van een netwerk- of informatiesysteem) of een ICT-dienst (een dienst die volledig of hoofdzakelijk bestaat uit de verzending, opslag, opvraging of verwerking van gegevens door middel van netwerk- en informatiesystemen) die onder Belgisch recht vallen (producten, systemen of netwerken die zich in België bevinden), wanneer een organisatie geen CVD-beleid heeft. In dit kader kan de onderzoeker de openbaarmaking van zijn bevindingen aan het CCB aanvragen. Meer informatie hierover vindt u op onze pagina Bekendmaking van kwetsbaarheden aan het CCB.

Een bug bounty-programma is een reeks regels die door een organisatie zijn vastgesteld om beloningen toe te kennen aan deelnemers die kwetsbaarheden in de door haar gebruikte technologieën opsporen. Deze beloning kan bestaan uit een geldbedrag, geschenken of publieke erkenning (plaatsing in een ranglijst van beste deelnemers, publicatie, conferentie, enz.). Het is een vorm van gecoördineerde bekendmaking van kwetsbaarheden, waarbij de deelnemer wordt beloond op basis van het aantal, het belang of de kwaliteit van de verstrekte informatie. Deze vorm van beleid is aantrekkelijker voor potentiële deelnemers en levert vaak betere resultaten op voor organisaties. Een organisatie kan ook een beroep doen op een bug bounty-platform voor technische en administratieve ondersteuning bij het beheer van haar beloningsprogramma voor het opsporen van kwetsbaarheden (coördinatorrol).

Om de deelnemers die de wettelijke procedure voor het melden van kwetsbaarheden volgen te belonen, heeft het CCB een Wall of Fame op zijn website geplaatst.

Een coördinator is een natuurlijke persoon of een rechtspersoon die optreedt als tussenpersoon tussen de deelnemer en de organisatie die verantwoordelijk is voor een netwerk- of informatiesysteem, door logistieke, technische en juridische bijstand of andere functies te verlenen om hun samenwerking te vergemakkelijken.

In zijn rol als CVD-coördinator in België (ook buiten de wettelijke procedure voor het melden van kwetsbaarheden) treedt het Centrum voor Cybersecurity België (CCB) op als vertrouwde tussenpersoon. Het CCB faciliteert waar nodig, op verzoek van een van beide partijen, de interactie tussen de natuurlijke persoon of de rechtspersoon die een potentiële kwetsbaarheid meldt en de fabrikant of leverancier van de potentieel kwetsbare ICT-producten of ICT-diensten. Onderzoekers kunnen contact opnemen met het CCB via het e-mailadres dat vermeld staat op de pagina Bekendmaking van kwetsbaarheden aan het CCB.

Een CVD-deelnemer, onderzoeker of "ethische hacker" is een persoon met goede bedoelingen die, met toestemming van de verantwoordelijke organisatie, wil bijdragen aan de verbetering van de beveiliging van netwerk- of informatiesystemen. Zij kunnen bijvoorbeeld penetratietests uitvoeren of andere methoden gebruiken om de beveiliging van informatiesystemen te controleren. Zij zijn het tegenovergestelde van cybercriminelen, die hun vaardigheden gebruiken om met kwade bedoelingen ongeoorloofde toegang tot een systeem te verkrijgen. De deelnemer wil de verantwoordelijke van het informatiesysteem of een coördinator op de hoogte brengen van de ontdekte kwetsbaarheden, zodat deze kunnen worden weggewerkt.

Een CVD-beleid kan de verantwoordelijke organisatie op een eerlijke en wettelijke manier informatie verschaffen over kwetsbaarheden in haar systemen, waardoor zij passende en tijdige maatregelen kan nemen. Zo kan zij de risico's en mogelijke schade die deze kwetsbaarheden kunnen veroorzaken, effectief voorkomen of zoveel mogelijk beperken. Naast andere technische en organisatorische maatregelen is de implementatie van een CVD-beleid een passende technische en organisatorische maatregel om incidenten te voorkomen die de veiligheid van haar netwerk- en informatiesystemen (en haar persoonsgegevens) in gevaar kunnen brengen. Het heeft het onmiskenbare voordeel dat kwetsbaarheden worden geïdentificeerd en verholpen voordat zich een veiligheidsincident voordoet.

De aantrekkelijkheid en doeltreffendheid van het beleid worden uiteraard vergroot wanneer de verantwoordelijke organisatie besluit om deelnemers te belonen op basis van het belang en de kwaliteit van de informatie die zij in het kader van een bug bounty-programma verstrekken. Zelfs wanneer de organisatie beloningen toekent en een beroep doet op een externe coördinator (ethical hacking platform), zijn de kosten voor de implementatie van een CVD-beleid over het algemeen beter beheersbaar (en lager) dan de kosten die gewoonlijk gepaard gaan met audits door externe bedrijven. Het toekennen van een beloning in het kader van een bug bounty-programma vloeit immers voort uit een resultaatsverplichting van de deelnemer, terwijl een externe auditor doorgaans alleen een middelenverbintenis heeft. Deze laatste moet dus voor al zijn diensten worden vergoed, ook als hij bij zijn onderzoek geen of slechts kleine kwetsbaarheden vaststelt. Internationale technische normen op het gebied van IT-beveiliging raden de invoering van een CVD-beleid uitdrukkelijk aan (zie bijvoorbeeld de internationale normen ISO/IEC 29147 en 30111).

De invoering van een CVD-beleid stimuleert ook kennis en onderzoek op het gebied van cyberbeveiliging. Deze aanpak houdt in dat de betrokken organisatie zich ertoe verbindt de door de deelnemers verstrekte informatie te verwerken en te trachten de vastgestelde kwetsbaarheden te verhelpen, of op zijn minst de gebruikers op de hoogte te brengen van de risico's. Deze verbintenis kan ook een marketingargument vormen en in de communicatie van de organisatie worden benadrukt. Het vertrouwen in informatiesystemen is ongetwijfeld een belangrijke factor voor gebruikers en consumenten. Een CVD-beleid maakt het mogelijk een juridisch kader te creëren tussen ethische hackers en de organisatie, waardoor de vertrouwelijkheid van informatie wordt versterkt, een optimaal kader wordt geboden voor eventuele openbaarmaking en eventuele reputatieschade voor de organisatie wordt voorkomen.

Ten slotte maakt de implementatie van een CVD-beleid het mogelijk om aan te tonen dat de organisatie zich inspant om te voldoen aan haar wettelijke verplichtingen om haar netwerk- en informatiesystemen te beveiligen, met name in het kader van de Algemene Verordening Gegevensbescherming van de EU ("AVG"), de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (hierna "NIS2-wet" genoemd), de regels inzake burgerlijke aansprakelijkheid, het Wetboek van Economisch Recht, enz. (zie Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden. Deel I: Goede praktijken).

Essentiële en belangrijke entiteiten in de zin van de NIS2-wet zijn zelfs verplicht om een eigen CVD-beleid vast te stellen dat hun netwerk- en informatiesystemen omvat (art. 30, § 3, 11°).

Met de wettelijke procedure voor het melden van kwetsbaarheden zijn de organisatie en de ethische hacker niet uitsluitend afhankelijk van een CVD-beleid of een bug bounty-programma voor het onderzoeken van kwetsbaarheden. Ethische hackers kunnen gebruikmaken van de wettelijke procedure op de website van het CCB, op voorwaarde dat zij de vermelde voorwaarden naleven.

Met een CVD-beleid is een organisatie echter beter voorbereid om kwetsbaarheidsmeldingen te behandelen en beschikt zij over een eigen proces, zonder dat het CCB daarbij hoeft te worden betrokken. Dat gezegd zijnde, kan een deelnemer, zelfs als er een CVD-beleid is, nog steeds gebruikmaken van de wettelijke procedure voor kwetsbaarheidsmeldingen om ervoor te zorgen dat hij voldoende beschermd is.

Bovendien maakt een CVD-beleid het mogelijk om meer deelnemers aan te trekken door beloningen of bug bounties aan te bieden, iets wat niet is voorzien in de wettelijke meldingsprocedure.

Een deelnemer aan een CVD-beleid (of bug bounty-programma) dient zich te houden aan het toepassingsgebied en de voorwaarden van het beleid van de organisatie die verantwoordelijk is voor de betreffende ICT-producten of -diensten.

Als alternatief, of in combinatie met het CVD-beleid, kan een onderzoeker altijd gebruikmaken van de wettelijke procedure voor het melden van kwetsbaarheden. In dat geval dient de deelnemer alle voorwaarden na te leven die zijn beschreven op de pagina Bekendmaking van kwetsbaarheden aan het CCB.

Buiten deze situaties geniet een onderzoeker geen wettelijke bescherming en kan hij of zij mogelijk aansprakelijk worden gesteld voor zijn of haar activiteiten op het gebied van kwetsbaarheidsonderzoek.

De toegang tot het beroep van CVD-deelnemer of "ethische hacker" is niet gereglementeerd. Iedereen kan zich dus "ethische hacker" noemen. Ethische hackers kunnen hun vaardigheden echter aantonen door middel van diploma's, opleidingen, beroepservaring of door het afleggen van tests bij de verantwoordelijke organisatie (of bijvoorbeeld een coördinator die een bug bounty-platform beheert). Er bestaan ook erkende opleidingen op dit gebied (zie met name de certificering "Certified Ethical Hacker - (CEH)" die wordt georganiseerd door de International Council of Electronic Commerce Consultants (EC-Council) en erkend is door het American National Standards Institute (ANSI)).

De beste ethische hackers die met het CCB samenwerken, worden vermeld op onze Wall of Fame.

Wanneer er geen CVD-beleid of bug bounty/beloningsprogramma voor het ontdekken van kwetsbaarheden bestaat, kan de ethische hacker gebruikmaken van de wettelijke procedure voor het melden van kwetsbaarheden, die wordt beschreven op onze website Bekendmaking van kwetsbaarheden aan het CCB.

Het doel van deelname aan een CVD-beleid is niet om opzettelijk persoonsgegevens te verwerken, maar het is mogelijk dat de deelnemer in het kader van zijn kwetsbaarheidsonderzoek, zelfs incidenteel, in contact komt met persoonsgegevens. De verwerking van persoonsgegevens heeft een breed toepassingsgebied en omvat met name de opslag, wijziging, opvraging, raadpleging, gebruik of openbaarmaking van alle informatie die betrekking kan hebben op een geïdentificeerde of identificeerbare natuurlijke persoon.

Of een persoon "identificeerbaar" is, hangt niet af van de vraag of de verwerkingsverantwoordelijke de persoon eenvoudigweg wil identificeren, maar van de vraag of het mogelijk is om de persoon direct of indirect te identificeren aan de hand van de gegevens (bijvoorbeeld een e-mailadres, identificatienummer, online-identificatiemiddel, IP-adres of locatiegegevens).

De verwerkingsverantwoordelijke is de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt.

Aangezien het CVD-beleid een vorm van overeenkomst is die de ethische hacker bindt aan de verantwoordelijke organisatie, is het nuttig om de verplichtingen van de partijen met betrekking tot de verwerking van persoonsgegevens te specificeren, in het bijzonder de doeleinden en essentiële middelen van elke verwerking die in het kader van dit beleid wordt uitgevoerd (zie onze Gids - Deel I: Goede praktijken, en Deel II: Juridische aspecten).

In het kader van de wettelijke procedure wordt op de website van het CCB beschreven wat u moet weten over de verwerking van persoonsgegevens.

Volgens art. 22 en art. 23 van de NIS2-wet kan elke natuurlijke persoon of rechtspersoon, zelfs anoniem, het bestaan melden van een potentiële kwetsbaarheid die een ICT-product (een element of groep elementen van een netwerk- of informatiesysteem) of een ICT-dienst (een dienst die volledig of hoofdzakelijk bestaat in de verzending, opslag, opvraging of verwerking van gegevens door middel van netwerk- en informatiesystemen) die onder Belgisch recht vallen (producten, systemen of netwerken die zich in België bevinden) treft.

Een kwetsbaarheid wordt gedefinieerd als "een zwakheid, vatbaarheid of gebrek van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit" (art. 8, 15° NIS2-wet).

Deze procedure laat de toepassing van andere wettelijke procedures (met betrekking tot klokkenluiders, AVG, CRA, enz.) onverlet. Indien het onderzoek naar kwetsbaarheden wordt uitgevoerd op netwerk- of informatiesystemen die geheel of gedeeltelijk buiten het Belgische grondgebied zijn gelegen, beschermt het onderhavige wettelijke kader de onderzoeker alleen in België en niet in andere landen.

Om bij het opsporen en melden van een kwetsbaarheid in aanmerking te komen voor wettelijke bescherming, moeten de volgende voorwaarden worden nageleefd (art. 23 NIS2-wet):

• handelen zonder bedrieglijk opzet of het oogmerk om te schaden;
• binnen 24 uur na de ontdekking van een potentiële kwetsbaarheid een vereenvoudigde melding (met vermelding van het betrokken systeem en een eenvoudige beschrijving van de potentiële kwetsbaarheid) sturen naar de organisatie die verantwoordelijk is voor het systeem en naar het CCB;

Deze deadline gaat in op het moment waarop de persoon redelijkerwijs een potentiële kwetsbaarheid (zie definitie) had moeten kennen of ontdekken, d.w.z. na een redelijke periode van onderzoek en validatie om een potentiële kwetsbaarheid vast te stellen.

• binnen 72 uur na de ontdekking van een potentiële kwetsbaarheid een volledige melding te sturen naar de organisatie die verantwoordelijk is voor het systeem (overeenkomstig haar meldingsprocedures, indien zij die heeft) en naar het CCB, overeenkomstig de procedure die op zijn website is beschreven;
• niet verder gaan dan wat noodzakelijk en evenredig is om het bestaan van een kwetsbaarheid te verifiëren en te melden;

Alle acties van de onderzoeker moeten strikt beperkt blijven tot wat noodzakelijk en evenredig is om een kwetsbaarheid in een netwerk of informatiesysteem te kunnen ontdekken en melden. Indien de demonstratie op kleine schaal mogelijk is, mag hij zijn onderzoek niet verder uitbreiden. Evenmin is het gerechtvaardigd de beschikbaarheid van de door de betrokken apparatuur verleende diensten te verstoren. Op haar website vermeldt het CCB een aantal handelingen (niet-limitatieve lijst) die als onevenredig en/of onnodig kunnen worden beschouwd.

• geen informatie over de kwetsbaarheid en kwetsbare systemen openbaar maken zonder toestemming van het CCB;

Een bijkomende voorwaarde (6°) geldt voor de informatiesystemen (en de informatie die door of voor rekening van deze systemen wordt verwerkt) van bepaalde organisaties (SGRS/ADIV, VSSE, OCAM/OCAD, Ministerie van Defensie, politiediensten, Belgische diplomatieke en consulaire missies buiten de EU, rechterlijke overheden, nucleaire inrichtingen van klasse I, NCCN en CCB): in dit geval moet de onderzoeker vooraf schriftelijk toestemming verkrijgen om te zoeken naar potentiële kwetsbaarheden (een dergelijke toestemming kan bijvoorbeeld de vorm aannemen van een CVD-beleid).

Meer informatie over deze voorwaarden vindt u op de pagina Bekendmaking van kwetsbaarheden aan het CCB.

Om te kunnen profiteren van de civielrechtelijke en strafrechtelijke bescherming die het wettelijke kader biedt, moet de melder inderdaad alle verschillende voorwaarden (inclusief deadlines) naleven, anders kan hij of zij te maken krijgen met juridische (strafrechtelijke of civielrechtelijke) gevolgen (indien er strafrechtelijke of civielrechtelijke inbreuken zijn gebeurd). Het gebruik van de wettelijke procedure voor het melden van kwetsbaarheden blijft echter vrijwillig (de onderzoeker kan in plaats daarvan een toepasselijke CVD- of bug bounty-procedure gebruiken).

Indien aan de voorwaarden is voldaan, kan een rechtvaardigingsgrond worden toegekend voor een beperkte lijst van strafbare feiten op grond van de artikelen 314bis, 550bis en 550ter van het Strafwetboek (nieuwe art. 342, 343, 352, 524 tot 533), alsook in artikel 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie.

Het delen van informatie over een ontdekte potentiële kwetsbaarheid in een professionele context is evenmin in strijd met enige verplichting tot vertrouwelijkheid of beroepsgeheim.

Elke andere aansprakelijkheid van de melder die voortvloeit uit handelingen of nalatigheden die niet noodzakelijk zijn voor de voltooiing van de meldingsprocedure en die niet aan alle wettelijke vereisten voldoen, blijft onaangetast. Dergelijke handelingen of nalatigheden kunnen strafrechtelijk en civielrechtelijk strafbaar blijven.

Het is belangrijk op te merken dat deze wettelijke bescherming beperkt is tot de toepassing van het Belgische recht en geen bescherming biedt tegen mogelijke overtredingen van de wetgeving van andere landen.

Indien aan de wettelijke voorwaarden is voldaan en de onderzoeker hierom verzoekt, verbindt het CCB zich ertoe de identiteit van de onderzoeker vertrouwelijk te behandelen.

Om een kwetsbaarheid aan het CCB te melden, moet een ethische hacker de procedure volgen die wordt beschreven op de pagina Bekendmaking van kwetsbaarheden aan het CCB.

Dit houdt in dat hij eerst binnen 24 uur na de ontdekking van een potentiële kwetsbaarheid een vereenvoudigd meldingsformulier invult met enkele voorlopige gegevens over de kwetsbaarheid, en vervolgens binnen 72 uur na de ontdekking van een potentiële kwetsbaarheid een volledig meldingsformulier invult met meer details over de bevindingen. Deze formulieren worden indien mogelijk versleuteld en vervolgens naar het CCB gestuurd via het e-mailadres dat op de hierboven vermelde website staat vermeld.

Een wettelijke voorwaarde is dat de onderzoeker geen informatie over de kwetsbaarheid en kwetsbare systemen openbaar mag maken zonder toestemming van het CCB. De onderzoeker moet daarom het CCB formeel om toestemming vragen om zijn bevindingen openbaar te maken. Hij kan zijn verzoek sturen naar het e-mailadres dat in de procedure voor het melden van kwetsbaarheden is vermeld.

Zodra het verzoek bij het CCB is ingediend, gaat een deadline van 90 dagen in. Indien de onderzoeker aan het einde van deze deadline van 90 dagen geen kennis heeft gekregen van een weigering, mag hij de openbaarmaking als toegestaan beschouwen.

Een beslissing om de publicatie toe te staan, betekent niet dat de kwetsbaarheid door het CCB is gevalideerd, maar alleen dat het CCB onvoldoende informatie heeft om de openbaarmaking te weigeren op grond van het feit dat deze een risico vormt voor de openbare veiligheid (voor de netwerk- en informatiesystemen van de betrokken organisatie of andere organisaties).

Het CCB kan rekening houden met de volgende elementen wanneer het overweegt al dan niet toestemming te geven voor de openbaarmaking van een kwetsbaarheid (niet-limitatieve lijst):

• de ernst van de kwetsbaarheid en de mate waarin deze kan worden misbruikt;
• de kritieke aard van de door de kwetsbaarheid getroffen organisaties (bv. essentiële of belangrijke entiteiten in de context van NIS2);
• de mate waarin de kwetsbaarheid kan worden gedetecteerd en de waarschijnlijkheid dat deze door anderen wordt misbruikt;
• de implementatie van een oplossing op de getroffen informatiesystemen;
• of de kwetsbaarheid kan worden gevalideerd.

Als een organisatie door het CCB op de hoogte wordt gebracht van een kwetsbaarheid, moet zij beoordelen of deze kwetsbaarheid niet kan worden beschouwd als een inbreuk op persoonsgegevens die moet worden gemeld aan de bevoegde Gegevensbeschermingsautoriteit in het kader van de AVG.

In geval van een potentieel datalek dat een risico kan vormen voor de rechten en vrijheden van natuurlijke personen, herinnert het CCB alle betrokken organisaties eraan dat het de verantwoordelijkheid van de verwerkingsverantwoordelijke is om de Gegevensbeschermingsautoriteit (GBA) zo snel mogelijk en uiterlijk 72 uur nadat hij ervan kennis heeft gekregen, op de hoogte te brengen (zie de toelichting en de vereiste procedure op de website van de GBA).