Wanneer is er eigenlijk sprake van een datalek binnen je bedrijf en welke stappen moet je nemen als er inderdaad data gelekt zijn?
Help, er zijn persoonsgegevens gelekt!
Misschien heb je ook wel eens een mail gehad van een organisatie waar je zaken mee doet en die meldt dat er sprake is geweest van een datalek. Zo meldde bijvoorbeeld EasyPark (parkeer-app) eind december dat na een hack cybercriminelen toegang hebben verkregen tot o.a. namen, telefoonnummers en (e-mail)-adressen. Maar wanneer is er nu eigenlijk sprake van een datalek?
Is dit een datalek?
Formeel is er sprake van een datalek als sprake is van toegang tot óf vernietiging, wijziging of vrijkomen van persoonsgegevens bij je onderneming, zónder dat dit je bedoeling is. Dat kan bijvoorbeeld als er kwaadwillenden inbreken in je systeem en gegevens stelen (of verwijderen of wijzigen), maar ook als er per ongeluk een mailtje naar de verkeerde persoon wordt gestuurd of als er een telefoon, laptop of usb-stick met gegevens verloren gaat of gestolen wordt. Lees in mijn tip over de AVG nog eens na wat persoonsgegevens precies zijn.
Wat moet je in geval van een datalek doen?
Je moet sowieso snel het lek dichten, maar je bent ook vaak verplicht het datalek te melden bij de Autoriteit Persoonsgegevens en bij de betrokkenen. Of je het nu meldt of niet, het is altijd slim om elk datalek op te nemen in een datalekregister. Hoe zit dat precies en welke stappen kun je het beste doorlopen?
Stap 1. Dicht het lek. Dat is uiteraard vanzelfsprekend. Je moet voorkomen dat het erger wordt dan het al is. Als er door cybercriminelen is ingebroken, dan zal je IT-er actie moeten nemen. Zelf kun je wachtwoorden en gebruikersnamen van de belangrijke accounts wijzigen.
Stap 2. Melden bij de AP. Bepaal of je het datalek moet melden aan de AP en aan de betrokkene(n). Deze meldplicht hangt af van de omvang en het risico van het datalek voor de slachtoffers. Die omvang en het risico moet je zelf inschatten. De voorbeeldlijst van de AP kan hierbij helpen. Het melden doe je met het meldformulier bij het Meldloket AP.
Stap 3. Melden bij de betrokkenen. Als er van werknemers, klanten, enz. gegevens zijn gelekt en er zijn risico’s dat er van deze gegevens misbruik wordt gemaakt, dan moet je het datalek bij de betrokkenen melden. Het meest handige is via een e-mailbericht (zie voorbeeld EasyPark) maar het mag ook via de telefoon of met een brief.
Je vermeldt:
- wat er is gebeurd;
- wat de waarschijnlijke gevolgen zijn;
- welke maatregelen je hebt genomen om de gevolgen te beperken;
- wat de betrokkenen eventueel zelf kunnen doen (zoals nieuw wachtwoord instellen).
NOVI TIP
Op de website van de Autoriteit Persoonsgegevens staat een hele pagina met uitleg of je een datalek wel of niet moet melden.
Stap 4. Registreer het datalek. Je bent volgens de AVG verplicht een datalekregister op te stellen en bij te houden. Hierin moet je álle datalekken vastleggen die zich binnen jouw onderneming hebben afgespeeld. Ook de datalekken die je niet aan de AP hebt gemeld. Dat is wel zo slim als er later gedoe over komt. Een dergelijk datalekregister is vormvrij. Dat betekent dat je dat in Word kunt doen, in Excel, of wat dan ook. Leg in ieder geval de volgende gegevens vast:
- de oorzaak;
- wat er precies is gebeurd;
- wanneer het is gebeurd;
- om welke persoonsgegevens het gaat;
- de gevolgen van het datalek;
- de corrigerende maatregelen die je hebt genomen en wanneer;
- wat de omvang en het risico is;
- of je de AP en de betrokkenen wel of niet hebt geïnformeerd.
Afbeelding van Steve Buissinne via PixabayNOVI TIP
Neem een datalek altijd serieus. Hanteer het stappenplan uit dit artikel en leg sowieso élk datalek altijd vast in een datalekregister.
