Help, een datalek! Hoe stel ik een procedure op?

Een datalek kan uit een onverwachte hoek komen. Een foutje in een e-mailadres, het verlies van een mobiele telefoon of de actie van een hacker. Vanaf dat moment heb je 72 uur de tijd om te bepalen of je het datalek meldt bij de Autoriteit Persoonsgegevens (AP) of niet. Een datalek houdt geen rekening met een volle agenda. Daarom is een datalekprocedure essentieel.

Ik zal hieronder bespreken hoe je een procedure kan opstellen die leeft binnen je organisatie.

Zoals ik in deel 1 van deze reeks schreef is een datalek ieder incident waarbij persoonsgegevens verloren zijn gegaan of toegankelijk kunnen zijn voor onbevoegden. De meest voorkomende  voorbeelden van datalekken zijn het versturen van gegevens naar een verkeerde ontvanger (per e-mail of post), verloren apparaten (telefoons, tablets, USB-sticks) en hacking, malware of phishing.

Als je een datalek hebt is het belangrijk om snel actie te ondernemen. Je hebt namelijk niet veel tijd om te beoordelen of het datalek gemeld moet worden bij de AP of dat de getroffen personen geïnformeerd moeten worden. De melding moet binnen 3 dagen na de ontdekking van het datalek bij de AP binnen zijn.

Als je een datalek niet meldt kan dat leiden tot (hoge) boetes en reputatieschade. Dat kan voorkomen worden met een goede interne procedure. Want als je niet weet dat er een datalek is binnen de organisatie, dan kun je ook niet melden.

Zorg dat een aantal personen binnen de organisatie verantwoordelijk zijn voor de beoordeling en afhandeling van datalekken. Is er een Privacy Officer of Functionaris voor de Gegevensbescherming? Dan is dat de aangewezen persoon, naast bijvoorbeeld een IT-specialist, jurist of PR-medewerker.

Het team zal op de hoogte moeten zijn van het toetsingskader en de vragen die moeten worden beantwoord bij het melden van een datalek via het meldloket datalekken. Als hulpmiddel voor de beoordeling kan het team gebruik maken van deze voorbeeldlijst van de AP en onze checklist meldplicht datalekken.

Voor het snel en efficiënt afhandelen van datalekken raad ik aan om ieder datalek bij een vast aanspreekpunt te melden. Dat kan bij het team zijn of via een contactpunt, zoals een e-mailadres.

Niet alleen de eigen medewerkers moeten weten waar gemeld moet worden, maar ook verwerkers die persoonsgegevens voor jouw organisatie verwerken, zoals de leverancier van de IT-systemen of de externe salarisadministratie.

Het moet duidelijk zijn voor iedereen waar en hoe gemeld moet worden. Bij de melding zullen een aantal gegevens over het datalek vermeld moeten worden, zoals de gegevens die zijn gelekt en hoeveel personen er zijn getroffen. Een vragenformulier kan daarvoor handig zijn.

Het doel van een datalekprocedure is om de stappen die gezet moeten worden bij een datalek in kaart te hebben. Het hoeft geen uitgebreid document te zijn, maar een aantal onderwerpen moeten wel aan bod komen. In een datalekprocedure moet in ieder geval staan:

Het is niet nodig om in de procedure op te nemen wat de (wettelijke) criteria zijn om te beoordelen of gemeld moet worden bij de AP. Dat is namelijk de taak van het team datalekken.

Hoe korter en eenvoudiger de procedure, hoe meer kans dat deze gaat leven binnen de organisatie. Alle medewerkers moeten bewust worden gemaakt dat bij het ontdekken van een datalek dezelfde dag nog een melding moet worden gemaakt bij het interne meldpunt.

Een goede methode om meer bewustzijn te creëren is om sessies te organiseren waarin de procedure aan iedereen wordt uitgelegd. Het gebruik van bijvoorbeeld een leuke datalekquiz zorgt ervoor dat de procedure echt gaat leven.

Vergeet ook niet om daarnaast een paar keer per jaar aandacht aan datalekken te besteden. Bijvoorbeeld via do’s & don’ts of door een melder van een datalek in het zonnetje te zetten. Want als intern niet gemeld wordt dat er een datalek is, blijft het risico op boetes bestaan! Ik zal in het laatste deel van deze reeks daar verder op ingaan.

We hebben een checklist opgesteld die je kan helpen bij de beoordeling van een datalek. Extra hulp nodig? Laat het ons weten! We hebben ruime ervaring in het implementeren van datalekprocedures bij diverse organisaties. Ook kunnen we op je organisatie afgestemde stappenplannen opstellen of trainingen op maat verzorgen.

Wil je meer informatie over de meldplicht datalekken kijk dan hier op onze website. Voor vragen kun je altijd terecht bij één van onze privacy specialisten Chantal Grouls, of Marieke Thijssen.