Ga direct naar de inhoud

Stappenplan: wat moet ik doen bij een datalek?

Een e-mail naar de verkeerde ontvanger, cybercrime of verlies van persoonsgegevens: een datalek kan iedere bedrijf overkomen. Maar wat is een datalek en wat moet u in zo’n situatie doen: bij wie moet u bijvoorbeeld melding maken? Samen met ABN AMRO en Privacy Zeker hebben we een stappenplan voor datalekken ontwikkeld: zo weet u precies wat u te doen staat.

Wat is een datalek?

Het nieuws staat regelmatig vol met berichten over datalekken. Maar wat is een datalek precies? Kor de Boer, commercieel directeur bij Privacy Zeker, legt uit: ‘Bij een datalek worden persoonsgegevens vernietigd, verloren, gewijzigd of gedeeld zonder dat dit de bedoeling was. Het gaat dus niet alleen om het ‘lekken’ van gegevens, maar ook om andere, onbedoelde verwerkingen.’

In de onderstaande video licht Kor de definitie van een datalek toe en vertelt hij al kort iets over een stappenplan: 

Voorbeelden van een datalek

De meeste datalekken ontstaan door menselijke fouten. Vaak gaat het om computerbestanden, maar soms ook om geprinte lijsten met persoonsgegevens. Voorbeelden van datalekken, die vaak voorkomen, zijn: 

  • Een cyberaanval
  • Een e-mail naar een verkeerde ontvanger
  • Diefstal, verlies of niet leeghalen van opslagapparatuur, zoals: laptops, usb-sticks en telefoons

 

Stappenplan bij een datalek

Als ondernemer wilt u een datalek of hack voorkomen, maar wanneer deze dan toch plaatsvindt moet u actie ondernemen. Sterker nog: de stappen, die we hieronder opsommen, zijn het minste wat u in zo’n situatie moet doen. Wij raden u dan ook aan om – nadat u het stappenplan heeft doorlopen – onderzoek te doen om herhaling van het datalek te voorkomen. 

Een datalek kan echt elk moment plaatsvinden; vaak met vervelende gevolgen voor uw organisatie. Wanneer u de privacy goed op orde houdt, minimaliseert u deze schade.

Het stappenplan voor datalekken van dat ABN AMRO, bestaat uit vijf onderdelen:  

  1. Creëer overzicht
  2. Beperk de schade en voorkom herhaling
  3. Bepaal of u melding moet maken van het datalek bij Autoriteit Persoonsgegevens
  4. Bepaal of u melding moet maken van het datalek bij de betrokkenen
  5. Registreer het datalek in het datalekregister

Hieronder gaan we dieper op het stappenplan in, zodat u precies weet wat u bij een datalek moet doen. 

1. Creëer overzicht

Het stappenplan begint bij het analyseren van de situatie: wat is er gebeurd en hoe is het datalek ontstaan? Schat ook in wat de omvang van het lek is. Gaat het om gelekte, vernietigde of gewijzigde gegevens? Komt u tot de conclusie dat de gegevens gelekt zijn? Zoek dan uit wie er toegang heeft gehad tot welke gegevens. 

 

2. Beperk de schade en voorkom herhaling

Nu duidelijk is hoe het datalek is ontstaan, is het tijd voor de volgende fase van het stappenplan: zorgen dat de eventuele schade wordt beperkt. Wacht hier niet te lang mee: hoe langer de situatie voortduurt, hoe groter de uiteindelijke gevolgen kunnen zijn. Is er bijvoorbeeld een laptop gestolen? Wis deze dan op afstand. Schat ondertussen ook in welke risico’s het lek nog meer kan hebben. 

Het is ook belangrijk om van de situatie te leren: hoe voorkomt u een soortgelijke datalek in de toekomst? Zet daarom niet alleen in op het beperken van schade, maar ook op het oplossen van het onderliggende probleem. Kor: ‘Beperkt bewustzijn onder werknemers kan een oorzaak zijn van het datalek. Het aanbieden van privacy awareness kan in de toekomst datalekken voorkomen.’

 

3. Bepaal of u melding moet maken van het datalek bij de Autoriteit Persoonsgegevens (AP)

Van sommige datalekken moet u melding maken bij de Autoriteit Persoonsgegevens. In deze gevallen heeft het lek gevolgen voor de betrokken personen: persoonsgegevens komen op straat te liggen, zijn te benaderen door derden of (lange tijd) niet beschikbaar. Denk aan een cyberaanval, een fout in de code of een verkeerd verstuurde e-mail. Weet u niet zeker of u melding moet maken van uw datalek bij de Autoriteit Persoonsgegevens? Bekijk dan hun voorbeeldlijst ‘Wel/niet melden datalek’. 

Moet u melding maken van uw datalek? Doe dat binnen 72 uur nadat u het lek heeft ontdekt! 

Lees ook: 6 tips om te voldoen aan de Meldplicht datalekken

 

4. Bepaal of u melding moet maken van het datalek bij de betrokkenen

In de derde stap van het stappenplan heeft u onderzocht of u uw datalek bij de Autoriteit Persoonsgegevens moet melden. Nu moet u bepalen of u dit ook bij de betrokken personen moet doen. Dit is het geval wanneer de gevolgen voor hen zeer ernstig zijn. Is er een hoog risico voor hun rechten en vrijheden? Dan bent u als bedrijf verplicht om het datalek bij de betrokkenen te melden. Denk aan medische dossiers, die gedurende 30 uur niet beschikbaar zijn. 

Kor voegt toe: ‘Houd hierbij altijd rekening met bijzondere persoonsgegevens. Dit zijn gevoelige gegevens, die iemands privacy ernstig beïnvloeden. Denk aan: politieke opvattingen, gegevens over gezondheid of seksuele gerichtheid. Zij hebben een speciale positie bij datalekken.’

Let op: of u het datalek moet melden bij betrokken personen, staat los van of u het lek bij de Autoriteit Persoonsgegevens moet melden.

 

5. Registreer het datalek in het datalekregister

De laatste stap binnen het stappenplan voor datalekken is de registratie. Registereer uw datalek altijd in het verplichte datalekregister. Dit geldt óók voor lekken, die u niet bij de Autoriteit Persoonsgegevens en/of de betrokken personen hoeft te melden. 

Heeft u hulp nodig bij datalekken en bent u klant bij ABN AMRO? Maak dan gratis gebruik van Privacy Zeker Start: hier kunt u datalekken melden, ondersteuning krijgen en nog veel meer. Voor tips bij het verzorgen van een professioneel datalekregister wijzen wij u graag op de whitepaper van de Autoriteit Persoonsgegevens: ’10 tips voor professionele datalekregistratie.’

ABN AMRO logo

ABN AMRO Verzekeringen

    Meer voor

    Ook interessant