Stappenplan: wat moet ik doen bij een datalek?

Wat is een datalek?

Het nieuws staat regelmatig vol met berichten over datalekken. Maar wat is een datalek precies? Kor de Boer, commercieel directeur bij Privacy Zeker, legt uit: ‘Bij een datalek worden persoonsgegevens vernietigd, verloren, gewijzigd of gedeeld zonder dat dit de bedoeling was. Het gaat dus niet alleen om het ‘lekken’ van gegevens, maar ook om andere, onbedoelde verwerkingen.’

In de onderstaande video licht Kor de definitie van een datalek toe en vertelt hij al kort iets over een stappenplan: 

Voorbeelden van een datalek

De meeste datalekken ontstaan door menselijke fouten. Vaak gaat het om computerbestanden, maar soms ook om geprinte lijsten met persoonsgegevens. Voorbeelden van datalekken, die vaak voorkomen, zijn: 

• Een cyberaanval
• Een e-mail naar een verkeerde ontvanger
• Diefstal, verlies of niet leeghalen van opslagapparatuur, zoals: laptops, usb-sticks en telefoons

 

Stappenplan bij een datalek

Als ondernemer wil je een datalek of hack voorkomen, maar wanneer deze dan toch plaatsvindt moet je actie ondernemen. Sterker nog: de stappen, die we hieronder opsommen, zijn het minste wat je in zo’n situatie moet doen. Wij raden je dan ook aan om – nadat je het stappenplan hebt doorlopen – onderzoek te doen om herhaling van het datalek te voorkomen. 

Het stappenplan voor datalekken van dat ABN AMRO, bestaat uit vijf onderdelen:  

1. Creëer overzicht
2. Beperk de schade en voorkom herhaling
3. Bepaal of je melding moet maken van het datalek bij Autoriteit Persoonsgegevens
4. Bepaal of je melding moet maken van het datalek bij de betrokkenen
5. Registreer het datalek in het datalekregister

Hieronder gaan we dieper op het stappenplan in, zodat je precies weet wat je bij een datalek moet doen. 

1. Creëer overzicht

Het stappenplan begint bij het analyseren van de situatie: wat is er gebeurd en hoe is het datalek ontstaan? Schat ook in wat de omvang van het lek is. Gaat het om gelekte, vernietigde of gewijzigde gegevens? Kom je tot de conclusie dat de gegevens gelekt zijn? Zoek dan uit wie er toegang heeft gehad tot welke gegevens. 

 

2. Beperk de schade en voorkom herhaling

Nu duidelijk is hoe het datalek is ontstaan, is het tijd voor de volgende fase van het stappenplan: zorgen dat de eventuele schade wordt beperkt. Wacht hier niet te lang mee: hoe langer de situatie voortduurt, hoe groter de uiteindelijke gevolgen kunnen zijn. Is er bijvoorbeeld een laptop gestolen? Wis deze dan op afstand. Schat ondertussen ook in welke risico’s het lek nog meer kan hebben. 

Het is ook belangrijk om van de situatie te leren: hoe voorkom je een soortgelijke datalek in de toekomst? Zet daarom niet alleen in op het beperken van schade, maar ook op het oplossen van het onderliggende probleem. Kor: ‘Beperkt bewustzijn onder werknemers kan een oorzaak zijn van het datalek. Het aanbieden van privacy awareness kan in de toekomst datalekken voorkomen. Wanneer je een datalek hebt of hebt gehad is het verstandig om te kijken of de procedures binnen de organisatie juist zijn verlopen en of de beveiliging nog adequaat is. Ook is het verstandig om te blijven monitoren en te evalueren. Wanneer de oorzaak van het lek niet goed wordt aangepakt is de kans op herhaling zeer groot.'

3. Bepaal of je melding moet maken van het datalek bij de Autoriteit Persoonsgegevens (AP)

Van sommige datalekken moet je melding maken bij de Autoriteit Persoonsgegevens. In deze gevallen heeft het lek gevolgen voor de betrokken personen: persoonsgegevens komen op straat te liggen, zijn te benaderen door derden of (lange tijd) niet beschikbaar. Denk aan een cyberaanval, een fout in de code of een verkeerd verstuurde e-mail. Weet je niet zeker of je melding moet maken van je datalek bij de Autoriteit Persoonsgegevens? Bekijk dan hun voorbeeldlijst ‘Wel/niet melden datalek’. 

Moet je melding maken van je datalek? Doe dat binnen 72 uur nadat je het lek hebt ontdekt! 

Lees ook: 6 tips om te voldoen aan de Meldplicht datalekken

 

4. Bepaal of je melding moet maken van het datalek bij de betrokkenen

In de derde stap van het stappenplan heb je onderzocht of je je datalek bij de Autoriteit Persoonsgegevens moet melden. Nu moet je bepalen of je  dit ook bij de betrokken personen moet doen. Dit is het geval wanneer de gevolgen voor hen zeer ernstig zijn. Is er een hoog risico voor hun rechten en vrijheden? Dan ben je als bedrijf verplicht om het datalek bij de betrokkenen te melden. Denk aan medische dossiers, die gedurende 30 uur niet beschikbaar zijn. 

Kor voegt toe: ‘Houd hierbij altijd rekening met bijzondere persoonsgegevens. Dit zijn gevoelige gegevens, die iemands privacy ernstig beïnvloeden. Denk aan: politieke opvattingen, gegevens over gezondheid of seksuele gerichtheid. Zij hebben een speciale positie bij datalekken.’

Let op: of je het datalek moet melden bij betrokken personen, staat los van of je het lek bij de Autoriteit Persoonsgegevens moet melden.

 

5. Registreer het datalek in het datalekregister

De laatste stap binnen het stappenplan voor datalekken is de registratie. Registereer je  datalek altijd in het verplichte datalekregister. Dit geldt óók voor lekken, die je niet bij de Autoriteit Persoonsgegevens en/of de betrokken personen hoeft te melden. 

Heb je hulp nodig bij datalekken en ben je klant bij ABN AMRO? Maak dan gratis gebruik van Privacy Zeker Start: hier kun je datalekken melden, ondersteuning krijgen en nog veel meer. Voor tips bij het verzorgen van een professioneel datalekregister wijzen wij je graag op de whitepaper van de Autoriteit Persoonsgegevens: ’10 tips voor professionele datalekregistratie.’