Stappenplan: wat te doen bij een datalek

Een datalek kan grote schade veroorzaken, zowel aan het imago en de continuïteit van de eigen organisatie, maar in sommige gevallen ook aan de persoonlijke levenssfeer van de betrokkenen. Het is bij een dergelijk incident belangrijk adequaat te handelen. Een stappenplan.

Stap 1

Stel vast of er daadwerkelijk sprake is van een datalek

Allereerst is het zaak om vast te stellen of een datalek daadwerkelijk heeft plaatsgevonden. Er is sprake van een datalek wanneer persoonsgegevens:

  • al dan niet met opzet zijn gestolen of zijn kwijtgeraakt. Denk daarbij bijvoorbeeld aan verlies van een mobiele schijf of USB-drive met privacygevoelige data op straat of in de trein. Maar bijvoorbeeld ook persoonsgegevens die verloren gaan door brand is een datalek;
  • op een onrechtmatige manier zijn verwerkt. Bijvoorbeeld wanneer gevoelige data is opgeslagen zonder medeweten of toestemming van de betrokkene;
  • gegevens worden ingezien en/of bewerkt door niet-bevoegd personeel;
  • data langer dan de afgesproken periode zijn bewaard, tenzij de betrokkene daar expliciet toestemming voor gegeven heeft;
  • langer zijn bewaard dan nuttig voor het beoogde doel, tenzij de betrokkene daar expliciet toestemming voor gegeven heeft

Verlies, verwerking of diefstal van andere data dan persoonsgegevens zijn geen datalekken. Wanneer bijvoorbeeld broncode van door uw organisatie ontwikkelde software in handen komt van onbevoegd personeel of een hacker, dan spreken we niet van een datalek. Persoonsgegevens zijn altijd herleidbaar naar personen. Denk aan inloggegevens, NAW-gegevens, creditcardgegevens, medische informatie, data over geslacht, politieke of seksuele voorkeur, persoonlijke financiële data of bijvoorbeeld BSN-nummers.

Stap 2

Neem maatregelen om een ‘actief’ lek te stoppen

In sommige gevallen is er sprake van een ‘actief’ datalek, bijvoorbeeld wanneer een hacker of onbevoegde medewerker mogelijk nog toegang tot de data heeft en nog altijd nieuwe gegevens kan buitmaken. Hackers blijven soms weken, maanden of zelfs jaren onopgemerkt in het netwerk en kunnen gedurende die tijd ongestoord data stelen. Het is dus cruciaal dat een aanval snel wordt gedetecteerd.

Maar ook medewerkers kunnen ongeoorloofd toegang hebben tot gegevens en zo een permanent datalek veroorzaken. In alle gevallen is het uiteraard zaak zo snel mogelijk te handelen en het gevaar te mitigeren. Bijvoorbeeld door het blokkeren van accounts, het verplaatsen van de data naar een veilige locatie of het isoleren van een indringer van buitenaf. Schakel professionele hulp in als het eigen team hier niet toe in staat blijkt.

Stap 3

Verzamel zoveel mogelijk informatie

Het is van groot belang om zoveel mogelijk informatie in te winnen over het datalek. Niet alleen over de aard van het lek zelf, zoals hoeveel en welke gegevens precies gelekt zijn. Maar vooral ook wat daar precies aan voorafging en hoe het lek heeft kunnen plaatsvinden.

Het is verstandig je IT zo in te richten dat deze informatie continu vanzelf verzameld wordt. Denk bijvoorbeeld aan systemen die logbestanden aanmaken en daarin bestandswijzigingen en transfers bijgehouden, eventueel gekoppeld aan gebruikers. Zo kun je eenvoudig zien wie toegang heeft gehad tot bepaalde data en wat deze persoon daarmee deed. Onze oplossing YourSafetynet voorziet in uitgebreide functies hiervoor.

Deze informatie is niet alleen waardevol voor de eigen organisatie, maar ook van groot belang bij eventueel noodzakelijk forensisch onderzoek. Bovendien kan een gedetailleerd rapport over het lek de kans verkleinen dat de organisaties volgens de Autoriteit Persoonsgegevens nalatig heeft gehandeld.

Stap 4

Meld het lek indien noodzakelijk bij de Autoriteit Persoonsgegevens

We kennen sinds 1 januari 2016 in Nederland de Meldplicht Datalekken. Dat houdt echter niet in dat ieder datalek automatisch gemeld moet worden. Je bent alleen verplicht melding te maken als het datalek mogelijkerwijs ‘ernstige gevolgen’ kan hebben voor de betrokkenen.

Het niet melden van een datalek brengt echter wel grote risico in verborgen. Wanneer je namelijk een datalek onterecht niet meldt, dan stijgt het risico op een forse boete aanzienlijk. Die boete is met een maximum van 825.000 euro of 10% van de omzet niet kinderachtig. Bovendien kun je een melding altijd weer intrekken, mocht de schade of de gevolgen achteraf minder niet ernstig blijken. Daarom adviseren we datalekken toch altijd te melden en zo het zekere voor het onzekere te nemen.

Meldplicht Datalekken - Autoriteit Persoonsgegevens

Stap 5

Meld het lek indien noodzakelijk bij de betrokkenen

Sinds 1 januari zijn organisaties niet alleen verplicht ernstige datalekken te melden bij de Autoriteit Persoonsgegevens, maar ook in sommige gevallen bij de betrokkenen. Dat zijn in dit geval de mensen wier gegevens zijn gelekt. Organisaties zijn dit verplicht wanneer een lek mogelijk schadelijk is voor de ‘persoonlijke levenssfeer’ van de betrokkenen. Schade is hier een breed begrip: het gaat om mogelijke schade aan bijvoorbeeld het imago, de privacy, of financiële schade.

Het melden van een lek aan de betrokkenen is in vrijwel alle gevallen ongunstig voor de imago van uw organisatie en/of het klantcontact. Dat mag echter nooit een argument zijn om van de melding af te zien. Wees open en eerlijk over de stand van zaken, wuif geen risico’s weg en maak geen valse beloftes. Een datalek is bovendien zelden een statische aangelegenheid. Blijf de betrokkenen actief informeren als de ontwikkelingen daarom vragen.

Soms is het heel duidelijk wanneer een melding aan betrokkenen verplicht is, bijvoorbeeld wanneer creditcardgegevens of medische data in handen van hackers terecht zijn gekomen. Maar soms is het minder duidelijk. Schakel bij twijfel altijd een expert in.

Stap 6

Neem maatregelen om het lek in de toekomst te voorkomen

Na een datalek is het van groot belang er alles aan te doen een dergelijk incident in de toekomst te voorkomen. Was het lek te wijten aan onvoldoende technische security-maatregelen? Investeer dan in betere security-middelen.

Vaak ontstaan datalekken echter door een gebrek aan solide privacybeleid, waardoor medewerkers bewust of per ongeluk zorgen voor een datalek. In zo’n beleid formuleert de organisatie hoe het persoonsgegevens verwerkt, met welke doeleinden ze dat doet, en wie waartoe bevoegd en verantwoordelijk is. Bovendien maakt het afspraken met zowel de eigen medewerkers als de direct betrokkenen hierover.

Het opstellen van een compliant privacybeleid is een ingewikkelde klus, want het moet gebeuren volgens een strak protocol en strenge regels. YourSafetynet biedt een aparte appliance die je deze taak grotendeels uit handen neemt en via stap-voor-stap wizards door alle te nemen maatregelen loodst. Een wel zo veilige gedachte, voorkomen is immers altijd beter dan genezen.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This