Help, een datalek! Wat moet ik doen?
Een datalek zit soms in een klein hoekje. Een e-mail aan nét dat verkeerde e-mailadres, het verlies van een mobiele telefoon, een klik op een link in een phishing mail… Wat nu?
Wat is een datalek?
Om aan de meldplicht datalekken uit de Algemene Verordening Gegevensbescherming (AVG) te kunnen voldoen moet je weten wanneer sprake is van een datalek.
Volgens de AVG is de definitie van een datalek kort gezegd: een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot persoonsgegevens.
De meest voorkomende voorbeelden van datalekken zijn:
- Gegevens die naar een verkeerde ontvanger zijn gestuurd (per e-mail of post)
- Verloren papieren of apparaten zoals telefoons, tablets en USB-sticks
- Hacking, malware of phishing
Het is dus alleen een datalek als er persoonsgegevens zijn getroffen. Als op een verloren USB-stick alleen financiële gegevens van een bedrijf staan, dan kan dat uiteraard heel vervelend zijn, maar dan is dat geen datalek in de zin van de AVG. De gegevens moeten betrekking hebben op of herleidbaar zijn tot natuurlijke personen.
Er is sprake van een datalek als persoonsgegevens per ongeluk of onrechtmatig:
- Vernietigd zijn (bijvoorbeeld door een brand)
- Verloren zijn gegaan (bijvoorbeeld een dossier die in de trein is blijven liggen, een USB-stick die uit de tas is gevallen)
- Toegankelijk (kunnen) zijn voor de verkeerde personen (bijvoorbeeld toegang in gegevens die je niet nodig hebt of niet mag zien, e-mail of berichten naar de verkeerde ontvanger)
Hoe weet je dat er binnen je organisatie een datalek is? Dat kom je alleen te weten als iedereen binnen de organisatie daar alert op is en bijvoorbeeld bij het versturen van een e-mail naar een verkeerd adres dat ook intern meldt. Het is aan te raden een intern meldpunt te hebben die iedereen weet te vinden.
Maak daarom een procedure of intern werkproces voor datalekken waar iedereen bij kan. Hoe je een datalekprocedure kan opstellen zal ik in het volgende deel toelichten.
Wat als je een datalek hebt? ACTIE!
Ieder datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP), tenzij er geen risico is te verwachten voor de getroffen personen.
Dat betekent dat je in ieder geval zo snel mogelijk de volgende acties moet uitvoeren:
Zorg dat je alle informatie krijgt over wat er is gebeurd
- Welke persoonsgegevens zijn gelekt?
- Van wie?
- Wie kan toegang hebben gekregen tot de gegevens?
- Welke acties zijn al genomen?
Beperk zoveel mogelijk de schade
- Als van afstand gewist kan worden, doe dat zo snel mogelijk
- Stuur een e-mail naar de verkeerde ontvanger en vraag om te wissen en dat te bevestigen
- Is er een hack of malware, schakel – als het intern niet lukt – een specialist in om dit te helpen stoppen en een volgende aanval te voorkomen
Beoordeel of je het datalek moet melden aan de AP
Wanneer moet je een datalek melden bij de AP? Je moet een datalek melden als er een risico is te verwachten voor de getroffen personen. Daarbij spelen de volgende vragen een rol:
- Zijn de gelekte gegevens gevoelig? (gezondheidsgegevens, BSN, handtekening, prestatiegegevens)
- Zijn de personen kwetsbaar (zieken, kinderen, mensen die op de vlucht zijn voor bedreiging)
- Wie heeft toegang verkregen, hoe heeft die gereageerd?
Meld binnen 72 uur via het meldloket
Beoordeel of de getroffen personen geïnformeerd moeten worden
Is er een hoog risico te verwachten voor de getroffen personen, dan moeten zij geïnformeerd worden. Daarbij spelen de volgende factoren een rol:
- Is fysieke of materiële schade niet uit te sluiten?
Als medische gegevens verloren zijn, dan wel inloggegevens voor internetbankieren of een kopie van een paspoort op straat liggen kan dat grote gevolgen hebben voor de getroffenen - Is er kans op stigmatisering of reputatieschade?
Zijn er gegevens over iemands gedrag gelekt die misbruikt kunnen worden, zoals gegevens over schulden, strafbare feiten of specifieke voorkeuren - Is er kans op andere ernstige gevolgen?
Bijvoorbeeld de locatie van een geheime verblijfplaats
Informeer zo snel mogelijk, maar wel zorgvuldig. Als het om een grote groep gaat, vraag dan hulp aan een communicatiespecialist. In het meldformulier voor de melding bij de AP moet ook aangegeven worden of getroffenen zijn geïnformeerd en op welke wijze.
Registreer het datalek in het datalekregister
Alle datalekken moeten in een datalekregister worden opgenomen met kort gezegd de volgende informatie:
- Wat was het incident?
- Welke gegevens zijn gelekt?
- Hoeveel personen zijn getroffen?
- Welke maatregelen zijn genomen?
- Is er gemeld en zijn getroffenen geïnformeerd? Zo niet, waarom niet?
In het laatste deel van deze blogreeks zal ik verder ingaan op dit register en hoe je dat goed bijhoudt. Als de AP erom vraagt moet je dat register namelijk kunnen verstrekken.
Campagne Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) besteedt in de maand juli extra aandacht aan de meldplicht datalekken. Er is een instructiefilmpje en de AP heeft een aantal tips en voorbeelden opgenomen op haar website.
Nog geen melding gemaakt van een datalek?
Pas dan op voor boetes!
De eerste boete die is uitgedeeld door de AP had betrekking op het veel te laat melden van een datalek door Uber. De Engelse privacy autoriteit wil zelfs een boete van omgerekend ongeveer 205 miljoen euro opleggen aan British Airways voor het grote datalek van vorig jaar. Dat datalek was wel gemeld, maar de beveiliging bleek niet in orde. Daar zal ik ook in het laatste deel van deze reeks bij stil staan.
Iedere organisatie heeft wel eens een datalek, dat is onvermijdbaar. Het valt daarom op als je als organisatie nog nooit een datalek hebt gemeld. De AP heeft ook aangekondigd daar dit jaar extra op te gaan controleren!
Meer weten?
Wil je meer informatie over de meldplicht datalekken kijk dan hier op onze website.
Voor vragen kun je altijd terecht bij één van onze privacy specialisten Chantal Grouls of Marieke Thijssen.
