Ze komen vaker voor dan je lief is: datalekken. Bij ondernemers slaat de angst om het hart. Wat moeten we nu doen? Hoe beperken we de schade? Melden of niet melden? Vragen die de Autoriteit Persoonsgegevens deze maand beantwoordt op de speciale website hulpbijprivacy.nl. Wij geven u de headlines, zodat u gelijk aan de slag kunt.

Goede voorbereiding is het halve werk

Een inkoppertje, maar toch. Een duidelijke procedure rondom datalekken helpt enorm. Vooral als alle medewerkers hier ook van op de hoogte zijn. De 3 voorbereidende stappen volgens de AP:

1. Het begint met herkennen

Wat is een datalek eigenlijk? Weten uw medewerkers dat? Benut overleggen en trainingen om werknemers bewust te maken. Denk aan risico’s van rondslingerende USB-sticks, phishing e-mails en het gebruik van CC vs. BCC in mailverkeer. Zorg dat het onderwerp datalekken standaard in de inwerkperiode van nieuwe medewerkers is opgenomen.

2. Durf te melden

Creëer een intern meldpunt waar medewerkers zonder consequenties een datalek kunnen melden. Maak duidelijk dat het juist professioneel is om een incident direct te melden, zodat de onderneming snel in actie kan komen.

3. Interne procedure voor datalekken

Zorg dat er een procedure datalekken is en dat deze goed bekend is bij alle medewerkers. In zo’n procedure staat onder meer wie het eerste aanspreekpunt is bij een datalek, binnen welke termijn het datalek intern gemeld moet worden en maak duidelijk wie, wat doet rondom de vervolgstappen om een datalek te beëindigen.

Datalek: beëindigen is actie nr.1

Wordt er binnen uw organisatie een datalek geconstateerd? Dan is uw eerste actie om deze te beëindigen en de schade ervan te beperken.

De AP heeft 10 vragen opgesteld om zo snel mogelijk overzicht te krijgen op de situatie. Als u eenmaal overzicht hebt, is het tijd voor actie.

Voorbeelden van maatregelen om schade bij een datalek te beperken zijn:

  • een laptop, tablet, of smartphone op afstand wissen of versleutelen;

  • een gepubliceerd bestand offline halen;

  • op afstand blokkeren van de toegang tot een account of clouddienst;

  • betrokkenen informeren (als dit verplicht is) wat zij zelf kunnen doen om de schade te beperken.

Schakel bij complexe datalekken een expert in. Hij of zij kan u helpen de ernst en omvang van het datalek vast te stellen. Daarnaast kan een specialist aangeven welke maatregelen u moet treffen.

Datalek melden of niet?

De gegevensverantwoordelijke dient een datalek uiterlijk binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

datalek_sm.jpg

Ter illustratie: een melding is niet nodig als een van uw medewerkers een versleutelde smartphone verliest. Als de encryptiesleutel alleen in het bezit is van de organisatie en de smartphone niet de enige kopie van persoonlijke data bevat, dan is die informatie ontoegankelijk voor onbevoegden en niet verloren gegaan. In dat geval hoeft er geen melding te worden gemaakt.

Als later echter blijkt dat de encryptiesleutel of -software toch onveilig of kwetsbaar is, dan moet er alsnog een melding worden gemaakt.

Bij het beoordelen van een datalek kijk je vooral naar de risico’s die het lek met zich meebrengen. Denk aan:

  • gaat het om gevoelige persoonsgegevens? Medische gegevens hebben bijvoorbeeld meer impact dan NAW-gegevens

  • waar zijn de gegevens terecht gekomen? Bij een betrouwbare ontvanger of liggen ze voor het oprapen?

  • om de gegevens van hoeveel personen gaat het?

  • gaat het om kwetsbare groepen zoals kinderen?

De betrokken personen informeert u alleen als er sprake is van een hoog risico.

De AP heeft een voorbeeldlijst wel/niet melden aan de AP en betrokken personen opgesteld om u te helpen bij uw afweging.

Heeft u een datalek of wilt u dit juist voorkomen?

Bekijk direct het stappenplan: kom in actie bij een datalek van de AP.

Wilt u meer weten over het voorkomen of melden van datalekken? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.