Wat te doen bij een datalek?

access-black-and-white-blur-270514

Wanneer je een bedrijf hebt, is het belangrijk dat je de persoonsgegevens goed beschermt. Dit zie je ook terug in de wetten rondom de Algemene Verordening Gegevensbescherming (AVG). Toch kan het voorkomen dat je, ondanks de juiste maatregelen omtrent de beveiliging, te maken krijgt met een datalek.

Hartstikke vervelend natuurlijk. Je wilt niet dat privacygevoelige informatie op straat komt te liggen. Maar wat moet je nou eigenlijk doen als je er achter komt dat er een datalek heeft plaatsgevonden?

Wat is een datalek?
Bij een datalek komen persoonsgegevens in handen van personen, bedrijven of organisaties die hier geen toegang toe mogen hebben. Onder deze gegevens valt alles wat te herleiden is naar de identiteit van een persoon. Denk hierbij aan bijvoorbeeld een 06-nummer, e-mailadres, naam, adres, locatie of IP-adres. Een datalek kan ontstaan door een slechte beveiliging, bijvoorbeeld door een hack. Maar ook als een wachtwoord of USB-stick met gegevens in handen komt van de verkeerde persoon. Een lek kan ook ontstaan door een cyberaanval, zoals een DDos aanval.

Wat moet ik doen bij een datalek?
1. Is er echt een datalek geweest?
Stel vast of er daadwerkelijk sprake is van een datalek. Verlies, diefstal of verwerking anders dan persoonsgegevens zijn geen datalek in de zin van de AVG.

2. Neem maatregelen om een actief lek te stoppen
Wanneer er mogelijk nog toegang is tot gegevens, door een hacker of onbevoegde medewerker, spreken we van een actief lek. Omdat zij vaak lange tijd toegang kunnen hebben tot persoonsgegevens is het belangrijk een aanval snel op te sporen. Blokkeer accounts, verplaats de data of isoleer de indringer om grote schade te voorkomen.

3. Informatie over het datalek verzamelen
Verzamel zoveel mogelijk informatie over de omvang van het lek. Hoeveel en welke gegevens zijn gelekt en wat ging er aan vooraf? Er zijn systemen die dit automatisch bijhouden. Deze informatie is belangrijk voor jezelf en je bedrijf en voor het onderzoek bij een lek.

4. Meldt het lek bij het Meldloket Datalekken & eventueel bij de betrokken personen
Hierover later meer.

5. Neem maatregelen om een nieuw lek te voorkomen
Na een lek wil je natuurlijk voorkomen dat er een nieuw lek kan plaatsvinden. Zorg dat je goede beveiligingssoftware gebruikt en/of een goed privacybeleid onder werknemers.

Wet voor het melden van een lek
Op 1 januari 2016 trad een wet in werking, als voorloper op de AVG, de Wet Meldplicht Datalekken. Deze wet is in 2018 vervangen door de AVG. Een datalek moet te allen tijden gemeld worden bij het Meldloket Datalekken, behalve als de privacy van een persoon niet in gevaar komt. De omvang van het lek is hierbij niet van belang. Doe je dit niet, dan overtreed je de wet. In dat geval kan je een boete opgelegd krijgen van maximaal 10.000.000 euro, of 2% van je jaarlijkse wereldwijde bedrijfsomzet. De melding moet binnen 72 uur na het ontdekken van het lek gedaan worden.

Elk lek, ook die niet gemeld hoeven worden, moet worden opgenomen in het datalekkenregister van de organisatie. Hierbij registreer je ook de genomen maatregelen en schat je zelf in of het lek wel of niet gemeld moet worden. Is er een groot risico voor de privacy van de betrokkenen? Dan dienen zij ook ingelicht te worden.

Wat staat er in een melding van een datalek?
• Wat is de aard van de inbreuk? Met vermelding van de categorieën van betrokkenen en persoonsgegevensregisters, inclusief het geschatte aantal daarvan.
• Beschrijving van de mogelijke gevolgen van de inbreuk
• Welke maatregelen zijn er getroffen om de schade te beperken en om de inbreuk aan te pakken?
• Naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen.

Heb jij te maken gekregen met een datalek en heb je hier vragen over? Ik geef je graag advies

Leave a comment