Categorieën
Intern Beleid

Wat te doen bij een datalek?

Doordat onze samenleving steeds verder digitaliseert, neemt het risico op datalekken binnen het bedrijfsleven toe. Een datalek kan bijvoorbeeld ontstaan doordat je organisatie te maken krijgt met cybercriminaliteit. Ook kan het voorkomen dat een van je medewerkers onvoorzichtig omspringt met vertrouwelijke gegevens van klanten. In beide gevallen is het belangrijk dat je beschikt over een gedegen intern protocol voor datalekken. De AVG verplicht dit ook. We bespreken in het kort enkele stappen die je het beste neemt bij een mogelijk datalek.

1. Is er werkelijk sprake van een datalek?

Ontvang je signalen over een mogelijk datalek binnen je bedrijf, blijf dan vooral rustig en ga na of er daadwerkelijk sprake is van een datalek. Enkele voorbeelden waarbij je van een datalek kunt spreken zijn:

  • een laptop of een USB-stick met hierop privacygevoelige gegevens wordt gestolen of raakt verloren;
  • je bedrijfssysteem wordt gehackt door cybercriminelen in de vorm van ransomware;
  • een van je medewerkers verzendt per ongeluk een mailbericht met vertrouwelijke gegevens naar een verkeerde geadresseerde;
  • je afgedankte printer of computer is onvoldoende gereinigd, waardoor deze nog gevoelige gegevens bevat;
  • je bedrijf verwerkt privacygevoelige data op een onrechtmatige wijze.

Bedenk wel dat het ingeval van een datalek altijd moet gaan om persoonsgegevens, dus gegevens die herleidbaar zijn naar een specifiek persoon. Je kunt hierbij onder meer denken aan NAW-gegevens, BSN-nummers, persoonlijke financiële data, medische informatie of kredietkaartgegevens.

2. Neem maatregelen om de schade te beperken.

Heb je inderdaad met een datalek te maken? Kom dan snel in actie en beperkt zoveel mogelijk de schade. Analyseer de situatie grondig en probeer achter de ware toedracht en omvang van het datalek te komen. Schakel desnoods professionele hulp hierbij in en stel eventueel een crisisteam samen.

Check verder of het datalek nog ‘actief’ is, met andere woorden of de hacker dan wel onbevoegde medewerker nog toegang heeft tot je systemen. Ga ook na of enkel persoonlijke data zijn gelekt, dan wel of hiernaast ook gegevens zijn vernietigd. Blokkeer accounts en verplaats je data naar een veilige locatie.

Hiernaast is van belang dat je lering trekt uit het datalek en dat je interne bedrijfsverbeteringen doorvoert. Probeer zoveel mogelijk informatie te vergaren over de oorzaak van het datalek en over hoe je dit in de toekomst kunt voorkomen. Richt je ICT-omgeving zo in dat deze voortdurend informatie verzamelt, bijvoorbeeld door het automatisch aanmaken van logbestanden. Ook in het kader van dossieropbouw ten behoeve van de Autoriteit Persoonsgegevens is het van belang dat je relevante informatie bijhoudt.

3. Bepaal of er een melding moet worden gemaakt bij de AP

In Nederland geldt al enige jaren een meldplicht voor datalekken, in die zin dat je de Autioriteit Persoonsgegevens hiervan in kennis moet stellen. Dit is echter enkel het geval wanneer het datalek kan leiden tot ernstige gevolgen voor de betrokkenen. Denk bijvoorbeeld aan identiteitsmisbruik, financiële gevolgen of reputatieschade. De website van de Autoriteit vermeldt meer gedetailleerd wanneer sprake is van een meldplicht.

Bedenk overigens dat het onterecht niet melden van een datalek kan leiden tot een forse boete van de Autoriteit. Ingeval van twijfel, kun je deze dan ook het beste hiervan in kennis stellen.

4. Registreer het lek in je datalekregister

Een andere verplichting bestaat erin dat je het datalek registreert in het interne dataregister van je bedrijf. Iedere organisatie die verwerkingsverantwoordelijke is dient een datalekregister te hebben. Documenteer elk incident, ook al geldt geen meldingsplicht bij de Autoriteit Persoonsgegevens. Hier kan de Autoriteit Persoonsgegevens ook om vragen wanneer zij een controle doen.

5. Bepaal of betrokkenen op de hoogte gesteld moeten worden

Last but not least, is het van belang dat ook de personen van wie de gegevens zijn gelekt hiervan op de hoogte worden gesteld. Sowieso ben je dit namens je bedrijf verplicht ingeval sprake is van een een hoog risico of ernstige gevolgen voor de betrokken personen. Ook hier weer kun je denken aan financiële schade, imagoschade of inbreuk op de privacy.

Wees altijd open en eerlijk ten aanzien van de betrokken personen en houd hen op de hoogte van de verdere ontwikkelingen. Ook al kan het een uiterst vervelende situatie opleveren, het feit dat je hierin je verantwoordelijkheid neemt zal altijd voor jou pleiten.

Hoewel het belangrijk is om een plan van aanpak te hebben voor het geval een datalek ontstaat, is het natuurlijk beter om een datalek te voorkomen. Wij kunnen je helpen met het maken van een risicoanalyse en het opstellen van alle benodigde protocollen. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

AVG-proof worden in 10 stappen? Download onze infographic en lees welke stappen jij moet ondernemen om jouw bedrijf te laten voldoen aan de eisen van de AVG.

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of Linkedin! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Categorieën
Corona

Hoe werken je medewerkers privacy-proof thuis?

De coronacrisis heeft ervoor gezorgd dat thuiswerken de norm is geworden. Terwijl de regering een steeds verdere versoepeling van de coronamaatregelen aankondigt, lijkt het werken vanuit huis helemaal te zijn ingeburgerd en onderdeel te vormen van het ‘nieuwe normaal’.

Desondanks dit een positieve ontwikkeling is, betekent dit dat organisaties er goed aan doen om hun medewerkers enige kennis over privacybescherming bij te brengen. Het laatste wat je als werkgever wilt, is dat de persoonlijke gegevens van je klanten of je medewerkers zelf op straat komen te liggen. Hierover tref je praktische tips in deze blog.

Veilige thuiswerkplek

De belangrijkste en meest logische tip is om ervoor te zorgen dat je medewerker veilig thuis kan werken. Dit houdt in dat een medewerker vanuit huis op een beveiligde manier kan inloggen op de server of online omgeving van je organisatie. Met bijvoorbeeld een VPN-verbinding wordt de verbinding tussen de computer of tablet van je medewerker en het internet beveiligd. Dit lijkt misschien logisch, maar het zou je verbazen hoeveel bedrijven hun IT-systemen hier nog onvoldoende op hebben ingericht.

Zorg er hiernaast voor dat je medewerker beschikt over de juiste apparatuur, voorzien van een goed antivirusprogramma, een firewall en periodieke updates om de apparatuur te beveiligen tegen virussen. Om dit op de juiste manier in te stellen kan je het beste informatie opvragen bij een professioneel IT-bedrijf. Ongetwijfeld heeft dit bedrijf goede tips en kan zij je IT-omgeving op de meest veilige manier inrichten.

Eigen verantwoordelijkheid

Ook is het belangrijk dat jouw medewerker ervan bewust is dat hij of zij ook in zijn eigen thuisomgeving zorgvuldig met vertrouwelijke persoonsgegevens moet omspringen. Overigens geldt dit natuurlijk voor alle bedrijfsdata.

Praktisch gezien houdt dit in dat je medewerker ervoor waakt dat hij bijvoorbeeld geen losse papieren of USB-sticks met vertrouwelijke gegevens laat rondslingeren. Wanneer er gebruik wordt gemaakt van USB-sticks, is het belangrijk dat de gegevens hierop versleuteld zijn. Op zijn computer schermt je medewerker de gegevens idealiter af via het gebruik van meerdere wachtwoorden. Zeker wanneer je medewerker kinderen heeft, bestaat het risico dat er nog weleens iets ‘verdwijnt’.

Zo is het ook van belang dat je medewerker voorzichtig is met het openen van ‘phishing’ mails. Hackers proberen via dergelijke mails in te breken in je bedrijfssystemen, wat een kostbare grap kan opleveren. Ook in het delen van informatie met collega’s en relaties dient je medewerker zorgvuldige te zijn.

Train je medewerkers

Alles begint uiteraard bij een stukje bewustwording. Het grootste gevaar schuilt doorgaans niet in het opzettelijk lekken van gegevens door je medewerker, maar in onbedoelde onachtzaamheid. Het is dan ook raadzaam om je medewerkers te trainen op bewustwording en hen duidelijk te maken dat zij hierin een eigen verantwoordelijkheid dragen. Ook hier geldt dat er meerdere professionele organisaties zijn die je hierin kunnen ondersteunen. Zie het dan ook als een zinvolle investering in je bedrijf. Het kan je een hoop ellende besparen.

Interesse in een handig overzicht van de AVG-wet? Download dan hier onze infogrpahic.

Wil je ook op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn. Hier vind je tips rondom de laatste ontwikkelingen van de AVG.