Binnen je bedrijf probeer je gevoelige informatie en persoonsgegevens zo goed mogelijk te beschermen. Dat je dit verplicht bent, vind je terug in de Algemene Verordening Gegevensbescherming.
Toch kan het gebeuren dat je te maken krijgt met een datalek. Het laatste wat je wilt is dan wel dat de persoonsgegevens op straat komen te liggen. Wat doe je in zo’n geval?
Wat is een datalek?
In het geval van een datalek hebben buitenstaanders ongeoorloofd of onbedoeld toegang tot persoonsgegevens. Onder deze persoonsgegevens vallen contactgegevens, zoals telefoonnummers of e-mail adressen, maar ook huisadressen, locaties of IP-adressen. Maar het kan ook gebeuren dat deze gegevens ongewenst vernietigt worden, verloren gaan, gewijzigd worden of verstrekt worden aan mensen die hier niets mee te maken hebben. Hierdoor lijden alle betrokken partijen schade.
Een datalek kan op verschillende manieren ontstaan. Bijvoorbeeld door een hack bij slechte beveiliging. Maar ook als je een USB-stick met gevoelige informatie kwijtraakt. Daarnaast zijn er ook de bekende cyberaanvallen, als DDos aanvallen.
Categorieën datalek
Er zijn drie categorieën waarin je datalekken kunt verdelen:
1. Inbreuk op vertrouwelijkheid – Er is onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
2. Inbreuk op integriteit – Er is onbevoegde of onopzettelijke wijziging van persoonsgegevens.
3. Inbreuk op beschikbaarheid – Er is sprake van onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Wat doe je bij een datalek?
Er zijn verschillende stappen die je onderneemt als je een datalek vermoed.
1. Bekijk of het echt een datalek was. Dit gaat namelijk alleen om persoonsgegevens. Verlies, diefstal of verwerking van andere gegevens vallen niet onder een datalek, gezien de AVG.
2. Zorg dat er geen toegang meer is tot de gegevens. Dit doe je door accounts te blokkeren, data te verplaatsen of de indringer te isoleren.
3. Probeer erachter te komen hoe groot het lek is. Hoeveel en welke gegevens zijn gelekt en waardoor? Sommige systemen houden dit automatisch bij.
4. Meld het lek bij het Meldloket Datalekken en eventuele betrokkenen.
5. Voorkom een nieuw lek door het gebruik van goede beveiligingssoftware. Ook een goed privacybeleid binnen je bedrijf is belangrijk.
Melding maken?
Je hoeft niet elk datalek te melden, maar wanneer dit wel moet, moet je dit binnen 72 uur doen. Doe je dit in zo’n geval niet? Dan kan je een boete opgelegd krijgen van €10.000.000 of 2% van je jaarlijkse, wereldwijde, bedrijfsomzet. Ook wanneer een lek niet gemeld hoeft te worden, moet deze opgenomen worden in het datalekkenregister van je organisatie.
Of het melden wel of niet nodig is, hangt af van de impact van het datalek op de bescherming van de persoonsgegeven. Maar ook wat de impact is op het persoonlijk leven van de betrokkenen. Dit beoordeel je door te kijken of het lek kan leiden tot fysieke, materiële of immateriële schade. Er is wel een kans dat je dit lek dan moet melden bij de Autoriteit Persoonsgegevens, maar vermeld dan dat betrokkenen niet op de hoogte zijn gesteld. Je moet deze reden dan wel goed kunnen onderbouwen.
Vooraf getroffen maatregelen hebben ook invloed op het wel of niet melden van een datalek. Bijvoorbeeld het onbereikbaar maken of goed versleutelen van persoonsgegevens. De code voor de versleuteling mag geen gevaar hebben gelopen en mag niet vindbaar zijn voor onbevoegden. De gegevens moeten nog helemaal intact zijn en je moet nog steeds zelf volledige controle hebben over de gegevens. Bovendien kan het zijn dat de gegevens bij een betrouwbare ontvanger terecht zijn gekomen. Ook dan is er geen risico, waardoor je het niet hoeft te melden.
Een betrokkene hoef je niet te informeren wanneer er een zwaarwegend belang moet worden gewaarborgd. Bijvoorbeeld voor de nationale of openbare veiligheid. Of de bescherming van andermans privacy. Ook is er geen meldplicht aan betrokkenen, wanneer je organisatie een financiële onderneming als bedoeld in de Wet op financieel toezicht is.
Wat zet je in een datalek melding?
1. De aard van de inbreuk, inclusief categorieën van betrokkenen en persoonsgegevensregisters, en de geschatte aantallen.
2. Wat de mogelijke gevolgen zijn van het datalek.
3. Welke maatregelen je treft om de schade zo klein mogelijk te houden en om de beveiliging te verbeteren.
4. Contactgegevens bij wie meer informatie opgevraagd kan worden over de inbreuk.