Wat te doen bij een datalek?

datalek

Doordat onze samenleving steeds verder digitaliseert, neemt het risico op datalekken binnen het bedrijfsleven toe. Een datalek kan bijvoorbeeld ontstaan doordat je organisatie te maken krijgt met cybercriminaliteit. Ook kan het voorkomen dat een van je medewerkers onvoorzichtig omspringt met vertrouwelijke gegevens van klanten. In beide gevallen is het belangrijk dat je beschikt over een gedegen intern protocol voor datalekken. De AVG verplicht dit ook. We bespreken in het kort enkele stappen die je het beste neemt bij een mogelijk datalek.

1. Is er werkelijk sprake van een datalek?

Ontvang je signalen over een mogelijk datalek binnen je bedrijf, blijf dan vooral rustig en ga na of er daadwerkelijk sprake is van een datalek. Enkele voorbeelden waarbij je van een datalek kunt spreken zijn:

  • een laptop of een USB-stick met hierop privacygevoelige gegevens wordt gestolen of raakt verloren;
  • je bedrijfssysteem wordt gehackt door cybercriminelen in de vorm van ransomware;
  • een van je medewerkers verzendt per ongeluk een mailbericht met vertrouwelijke gegevens naar een verkeerde geadresseerde;
  • je afgedankte printer of computer is onvoldoende gereinigd, waardoor deze nog gevoelige gegevens bevat;
  • je bedrijf verwerkt privacygevoelige data op een onrechtmatige wijze.

Bedenk wel dat het ingeval van een datalek altijd moet gaan om persoonsgegevens, dus gegevens die herleidbaar zijn naar een specifiek persoon. Je kunt hierbij onder meer denken aan NAW-gegevens, BSN-nummers, persoonlijke financiële data, medische informatie of kredietkaartgegevens.

2. Neem maatregelen om de schade te beperken.

Heb je inderdaad met een datalek te maken? Kom dan snel in actie en beperkt zoveel mogelijk de schade. Analyseer de situatie grondig en probeer achter de ware toedracht en omvang van het datalek te komen. Schakel desnoods professionele hulp hierbij in en stel eventueel een crisisteam samen.

Check verder of het datalek nog ‘actief’ is, met andere woorden of de hacker dan wel onbevoegde medewerker nog toegang heeft tot je systemen. Ga ook na of enkel persoonlijke data zijn gelekt, dan wel of hiernaast ook gegevens zijn vernietigd. Blokkeer accounts en verplaats je data naar een veilige locatie.

Hiernaast is van belang dat je lering trekt uit het datalek en dat je interne bedrijfsverbeteringen doorvoert. Probeer zoveel mogelijk informatie te vergaren over de oorzaak van het datalek en over hoe je dit in de toekomst kunt voorkomen. Richt je ICT-omgeving zo in dat deze voortdurend informatie verzamelt, bijvoorbeeld door het automatisch aanmaken van logbestanden. Ook in het kader van dossieropbouw ten behoeve van de Autoriteit Persoonsgegevens is het van belang dat je relevante informatie bijhoudt.

3. Bepaal of er een melding moet worden gemaakt bij de AP

In Nederland geldt al enige jaren een meldplicht voor datalekken, in die zin dat je de Autioriteit Persoonsgegevens hiervan in kennis moet stellen. Dit is echter enkel het geval wanneer het datalek kan leiden tot ernstige gevolgen voor de betrokkenen. Denk bijvoorbeeld aan identiteitsmisbruik, financiële gevolgen of reputatieschade. De website van de Autoriteit vermeldt meer gedetailleerd wanneer sprake is van een meldplicht.

Bedenk overigens dat het onterecht niet melden van een datalek kan leiden tot een forse boete van de Autoriteit. Ingeval van twijfel, kun je deze dan ook het beste hiervan in kennis stellen.

4. Registreer het lek in je datalekregister

Een andere verplichting bestaat erin dat je het datalek registreert in het interne dataregister van je bedrijf. Iedere organisatie die verwerkingsverantwoordelijke is dient een datalekregister te hebben. Documenteer elk incident, ook al geldt geen meldingsplicht bij de Autoriteit Persoonsgegevens. Hier kan de Autoriteit Persoonsgegevens ook om vragen wanneer zij een controle doen.

5. Bepaal of betrokkenen op de hoogte gesteld moeten worden

Last but not least, is het van belang dat ook de personen van wie de gegevens zijn gelekt hiervan op de hoogte worden gesteld. Sowieso ben je dit namens je bedrijf verplicht ingeval sprake is van een een hoog risico of ernstige gevolgen voor de betrokken personen. Ook hier weer kun je denken aan financiële schade, imagoschade of inbreuk op de privacy.

Wees altijd open en eerlijk ten aanzien van de betrokken personen en houd hen op de hoogte van de verdere ontwikkelingen. Ook al kan het een uiterst vervelende situatie opleveren, het feit dat je hierin je verantwoordelijkheid neemt zal altijd voor jou pleiten.

Hoewel het belangrijk is om een plan van aanpak te hebben voor het geval een datalek ontstaat, is het natuurlijk beter om een datalek te voorkomen. Wij kunnen je helpen met het maken van een risicoanalyse en het opstellen van alle benodigde protocollen. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

AVG-proof worden in 10 stappen? Download onze infographic en lees welke stappen jij moet ondernemen om jouw bedrijf te laten voldoen aan de eisen van de AVG.

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of Linkedin! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Deel deze blog: 

Share on facebook
Share on linkedin
Share on twitter
Share on email

Ook interessant:

datalek
Intern Beleid

Wat te doen bij een datalek?

Doordat onze samenleving steeds verder digitaliseert, neemt het risico op datalekken binnen het bedrijfsleven toe. Een datalek kan bijvoorbeeld ontstaan doordat je organisatie te maken