Een datalek kan grote schade veroorzaken, zowel aan het imago en de continuïteit van de eigen organisatie, maar in sommige gevallen ook aan de persoonlijke levenssfeer van de betrokkenen. Het is bij een dergelijk incident belangrijk adequaat te handelen. Een stappenplan.
Stap 1: Stel vast of er daadwerkelijk sprake is van een datalek
Allereerst is het zaak om vast te stellen of een datalek daadwerkelijk heeft plaatsgevonden. Er is sprake van een datalek wanneer persoonsgegevens:
- al dan niet met opzet zijn gestolen of zijn kwijtgeraakt. Denk daarbij bijvoorbeeld aan verlies van een mobiele schijf of USB-drive met privacygevoelige data op straat of in de trein. Maar bijvoorbeeld ook persoonsgegevens die verloren gaan door brand is een datalek;
- op een onrechtmatige manier zijn verwerkt. Bijvoorbeeld wanneer gevoelige data is opgeslagen zonder medeweten of toestemming van de betrokkene;
- gegevens worden ingezien en/of bewerkt door niet-bevoegd personeel;
- data langer dan de afgesproken periode zijn bewaard, tenzij de betrokkene daar expliciet toestemming voor gegeven heeft;
- langer zijn bewaard dan nuttig voor het beoogde doel, tenzij de betrokkene daar expliciet toestemming voor gegeven heeft
Verlies, verwerking of diefstal van andere data dan persoonsgegevens zijn geen datalekken. Wanneer bijvoorbeeld broncode van door uw organisatie ontwikkelde software in handen komt van onbevoegd personeel of een hacker, dan spreken we niet van een datalek. Persoonsgegevens zijn altijd herleidbaar naar personen. Denk aan inloggegevens, NAW-gegevens, creditcardgegevens, medische informatie, data over geslacht, politieke of seksuele voorkeur, persoonlijke financiële data of bijvoorbeeld BSN-nummers.
Stap 2: Neem maatregelen om een ‘actief’ lek te stoppen
In sommige gevallen is er sprake van een ‘actief’ datalek, bijvoorbeeld wanneer een hacker of onbevoegde medewerker mogelijk nog toegang tot de data heeft en nog altijd nieuwe gegevens kan buitmaken. Hackers blijven soms weken, maanden of zelfs jaren onopgemerkt in het netwerk en kunnen gedurende die tijd ongestoord data stelen. Het is dus cruciaal dat een aanval snel wordt gedetecteerd.
Maar ook medewerkers kunnen ongeoorloofd toegang hebben tot gegevens en zo een permanent datalek veroorzaken. In alle gevallen is het uiteraard zaak zo snel mogelijk te handelen en het gevaar te mitigeren. Bijvoorbeeld door het blokkeren van accounts, het verplaatsen van de data naar een veilige locatie of het isoleren van een indringer van buitenaf. Schakel professionele hulp in als het eigen team hier niet toe in staat blijkt.
Stap 3: Verzamel zoveel mogelijk informatie
Het is van groot belang om zoveel mogelijk informatie in te winnen over het datalek. Niet alleen over de aard van het lek zelf, zoals hoeveel en welke gegevens precies gelekt zijn. Maar vooral ook wat daar precies aan voorafging en hoe het lek heeft kunnen plaatsvinden.
Het is verstandig je IT zo in te richten dat deze informatie continu vanzelf verzameld wordt. Denk bijvoorbeeld aan systemen die logbestanden aanmaken en daarin bestandswijzigingen en transfers bijgehouden, eventueel gekoppeld aan gebruikers. Zo kun je eenvoudig zien wie toegang heeft gehad tot bepaalde data en wat deze persoon daarmee deed. Onze oplossing YourSafetynet voorziet in uitgebreide functies hiervoor.
Deze informatie is niet alleen waardevol voor de eigen organisatie, maar ook van groot belang bij eventueel noodzakelijk forensisch onderzoek. Bovendien kan een gedetailleerd rapport over het lek de kans verkleinen dat de organisaties volgens de Autoriteit Persoonsgegevens nalatig heeft gehandeld.
Stap 4: Meld het lek indien noodzakelijk bij de Autoriteit Persoonsgegevens
We kennen sinds 1 januari 2016 in Nederland de Meldplicht Datalekken. Dat houdt echter niet in dat ieder datalek automatisch gemeld moet worden. Je bent alleen verplicht melding te maken als het datalek mogelijkerwijs ‘ernstige gevolgen’ kan hebben voor de betrokkenen.
Het niet melden van een datalek brengt echter wel grote risico in verborgen. Wanneer je namelijk een datalek onterecht niet meldt, dan stijgt het risico op een forse boete aanzienlijk. Die boete is met een maximum van 825.000 euro of 10% van de omzet niet kinderachtig. Bovendien kun je een melding altijd weer intrekken, mocht de schade of de gevolgen achteraf minder niet ernstig blijken. Daarom adviseren we datalekken toch altijd te melden en zo het zekere voor het onzekere te nemen.
Stap 5: Meld het lek indien noodzakelijk bij de betrokkenen
Sinds 1 januari zijn organisaties niet alleen verplicht ernstige datalekken te melden bij de Autoriteit Persoonsgegevens, maar ook in sommige gevallen bij de betrokkenen. Dat zijn in dit geval de mensen wier gegevens zijn gelekt. Organisaties zijn dit verplicht wanneer een lek mogelijk schadelijk is voor de ‘persoonlijke levenssfeer’ van de betrokkenen. Schade is hier een breed begrip: het gaat om mogelijke schade aan bijvoorbeeld het imago, de privacy, of financiële schade.
Het melden van een lek aan de betrokkenen is in vrijwel alle gevallen ongunstig voor de imago van uw organisatie en/of het klantcontact. Dat mag echter nooit een argument zijn om van de melding af te zien. Wees open en eerlijk over de stand van zaken, wuif geen risico’s weg en maak geen valse beloftes. Een datalek is bovendien zelden een statische aangelegenheid. Blijf de betrokkenen actief informeren als de ontwikkelingen daarom vragen.
Soms is het heel duidelijk wanneer een melding aan betrokkenen verplicht is, bijvoorbeeld wanneer creditcardgegevens of medische data in handen van hackers terecht zijn gekomen. Maar soms is het minder duidelijk. Schakel bij twijfel altijd een expert in.
Stap 6: Neem maatregelen om het lek in de toekomst te voorkomen
Na een datalek is het van groot belang er alles aan te doen een dergelijk incident in de toekomst te voorkomen. Was het lek te wijten aan onvoldoende technische security-maatregelen? Investeer dan in betere security-middelen.
Vaak ontstaan datalekken echter door een gebrek aan solide privacybeleid, waardoor medewerkers bewust of per ongeluk zorgen voor een datalek. In zo’n beleid formuleert de organisatie hoe het persoonsgegevens verwerkt, met welke doeleinden ze dat doet, en wie waartoe bevoegd en verantwoordelijk is. Bovendien maakt het afspraken met zowel de eigen medewerkers als de direct betrokkenen hierover.
Het opstellen van een compliant privacybeleid is een ingewikkelde klus, want het moet gebeuren volgens een strak protocol en strenge regels. YourSafetynet biedt een aparte appliance die je deze taak grotendeels uit handen neemt en via stap-voor-stap wizards door alle te nemen maatregelen loodst. Een wel zo veilige gedachte, voorkomen is immers altijd beter dan genezen.
Alle berichten