of 59345 LinkedIn

Help, een datalek! Wat moet ik doen?

AfbeeldingEen datalek zit soms in een klein hoekje. Een e-mail aan nét dat verkeerde e-mailadres, het verlies van een mobiele telefoon, een klik op een link in een phishing mail… Wat nu?

In deze korte blogreeks zal ik de drie belangrijkste aandachtspunten bespreken in het kader van de meldplicht datalekken.

  • Hoe herken je een datalek en wat moet je doen?
  • Een datalekprocedure opstellen (met checklist!)
  • Hoe voorkom je een boete voor een datalek?


Wat is een datalek?

Om aan de meldplicht datalekken uit de Algemene Verordening Gegevensbescherming (AVG) te kunnen voldoen moet je weten wanneer sprake is van een datalek.

Volgens de AVG is de definitie van een datalek kort gezegd: een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot persoonsgegevens.

 

De meest voorkomende voorbeelden van datalekken zijn:

  • Gegevens die naar een verkeerde ontvanger zijn gestuurd (per e-mail of post)
  • Verloren papieren of apparaten zoals telefoons, tablets en USB-sticks
  • Hacking, malware of phishing

 

Het is dus alleen een datalek als er persoonsgegevens zijn getroffen. Als op een verloren USB-stick alleen financiële gegevens van een bedrijf staan, dan kan dat uiteraard heel vervelend zijn, maar dan is dat geen datalek in de zin van de AVG. De gegevens moeten betrekking hebben op of herleidbaar zijn tot natuurlijke personen.

 

Er is sprake van een datalek als persoonsgegevens per ongeluk of onrechtmatig:

  • Vernietigd zijn (bijvoorbeeld door een brand)
  • Verloren zijn gegaan (bijvoorbeeld een dossier die in de trein is blijven liggen, een USB-stick die uit de tas is gevallen)
  • Toegankelijk (kunnen) zijn voor de verkeerde personen (bijvoorbeeld toegang in gegevens die je niet nodig hebt of niet mag zien, e-mail of berichten naar de verkeerde ontvanger)

 

Hoe weet je dat er binnen je organisatie een datalek is? Dat kom je alleen te weten als iedereen binnen de organisatie daar alert op is en bijvoorbeeld bij het versturen van een e-mail naar een verkeerd adres dat ook intern meldt. Het is aan te raden een intern meldpunt te hebben die iedereen weet te vinden.

Maak daarom een procedure of intern werkproces voor datalekken waar iedereen bij kan. Hoe je een datalekprocedure kan opstellen zal ik in het volgende deel toelichten.


Wat als je een datalek hebt? ACTIE!

Ieder datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP), tenzij er geen risico is te verwachten voor de getroffen personen.

Dat betekent dat je in ieder geval zo snel mogelijk de volgende acties moet uitvoeren:


Zorg dat je alle informatie krijgt over wat er is gebeurd

  • Welke persoonsgegevens zijn gelekt?
  • Van wie?
  • Wie kan toegang hebben gekregen tot de gegevens?
  • Welke acties zijn al genomen?


Beperk zoveel mogelijk de schade

  • Als van afstand gewist kan worden, doe dat zo snel mogelijk
  • Stuur een e-mail naar de verkeerde ontvanger en vraag om te wissen en dat te bevestigen
  • Is er een hack of malware, schakel – als het intern niet lukt – een specialist in om dit te helpen stoppen en een volgende aanval te voorkomen


Beoordeel of je het datalek moet melden aan de AP

Wanneer moet je een datalek melden bij de AP? Je moet een datalek melden als er een risico is te verwachten voor de getroffen personen. Daarbij spelen de volgende vragen een rol:

  • Zijn de gelekte gegevens gevoelig? (gezondheidsgegevens, BSN, handtekening, prestatiegegevens)
  • Zijn de personen kwetsbaar (zieken, kinderen, mensen die op de vlucht zijn voor bedreiging)
  • Wie heeft toegang verkregen, hoe heeft die gereageerd?

Meld binnen 72 uur via het meldloket


Beoordeel of de getroffen personen geïnformeerd moeten worden

Is er een hoog risico te verwachten voor de getroffen personen, dan moeten zij geïnformeerd worden. Daarbij spelen de volgende factoren een rol:

  • Is fysieke of materiële schade niet uit te sluiten?
    Als medische gegevens verloren zijn, dan wel inloggegevens voor internetbankieren of een kopie van een paspoort op straat liggen kan dat grote gevolgen hebben voor de getroffenen
  • Is er kans op stigmatisering of reputatieschade?
    Zijn er gegevens over iemands gedrag gelekt die misbruikt kunnen worden, zoals gegevens over schulden, strafbare feiten of specifieke voorkeuren
  • Is er kans op andere ernstige gevolgen?
    Bijvoorbeeld de locatie van een geheime verblijfplaats

 

Informeer zo snel mogelijk, maar wel zorgvuldig. Als het om een grote groep gaat, vraag dan hulp aan een communicatiespecialist. In het meldformulier voor de melding bij de AP moet ook aangegeven worden of getroffenen zijn geïnformeerd en op welke wijze.


Registreer het datalek in het datalekregister

Alle datalekken moeten in een datalekregister worden opgenomen met kort gezegd de volgende informatie:

  • Wat was het incident?
  • Welke gegevens zijn gelekt?
  • Hoeveel personen zijn getroffen?
  • Welke maatregelen zijn genomen?
  • Is er gemeld en zijn getroffenen geïnformeerd? Zo niet, waarom niet?

 

In het laatste deel van deze blogreeks zal ik verder ingaan op dit register en hoe je dat goed bijhoudt. Als de AP erom vraagt moet je dat register namelijk kunnen verstrekken.


Campagne Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) besteedt in de maand juli extra aandacht aan de meldplicht datalekken. Er is een instructiefilmpje en de AP heeft een aantal tips en voorbeelden opgenomen op haar website.


Nog geen melding gemaakt van een datalek?
Pas dan op voor boetes!

De eerste boete die is uitgedeeld door de AP had betrekking op het veel te laat melden van een datalek door Uber. De Engelse privacy autoriteit wil zelfs een boete van omgerekend ongeveer 205 miljoen euro opleggen aan British Airways voor het grote datalek van vorig jaar. Dat datalek was wel gemeld, maar de beveiliging bleek niet in orde. Daar zal ik ook in het laatste deel van deze reeks bij stil staan.

Iedere organisatie heeft wel eens een datalek, dat is onvermijdbaar. Het valt daarom op als je als organisatie nog nooit een datalek hebt gemeld. De AP heeft ook aangekondigd daar dit jaar extra op te gaan controleren!


Meer weten?

Wil je meer informatie over de meldplicht datalekken kijk dan hier op onze website.
Voor vragen kun je altijd terecht bij één van onze privacy specialisten Chantal GroulsLiesbeth WoolschotMarieke Thijssen of Monique Hennekens.


Blogreeks ‘Help, een datalek!’

Dit is het eerste deel van onze blogreeks over de meldplicht datalekken. De volgende onderwerpen komen aan bod:

  • Help, een datalek! Wat moet ik doen?
  • Help, een datalek! Hoe stel ik een procedure op?
  • Help, een datalek! Hoe voorkom ik een boete?
Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

AfbeeldingHekkelman advocaten en notarissen

Prins Bernhardstraat 1,

6521 AA Nijmegen

Postbus 1094,

6501 BB Nijmegen

T: 024 382 83 84

F: 024 360 04 50

www.hekkelman.nl

binnenlandsbestuur@hekkelman.nl

Meer nieuws

Bloggers

Wilt u als eerste geïnformeerd worden?

Wilt u op de hoogte blijven van de blogs van Hekkelman?

U heeft de mogelijkheid u te abonneren op een specifiek blogthema of een auteur. Klik hier om uw voorkeuren op te geven.

 

Bovendien organiseren wij regelmatig seminars. Wilt u geen seminar van Hekkelman meer missen? Klik hier om uw gegevens achter te laten. U ontvangt dan als eerste een uitnodiging voor onze seminars in uw mailbox.

Whitepapers

Publicaties

Agenda seminars

AfbeeldingHekkelman Advocaten & Notarissen houdt u op de hoogte van actuele ontwikkelingen. Zo organiseren wij regelmatig seminars om deze ontwikkelingen en onze kennis met u te delen.

 

Klik hier voor onze seminaragenda.

Bekijk ook onze partnerpagina op Ruimte & Milieu

Klik hier