Het is snel gebeurd: je klikt op ‘verzenden’ en je realiseert je pas op dàt moment dat je e-mail niet naar Peter maar naar Pieter had moeten worden verstuurd. Of nog erger: je bent de USB-stick met daarop dat enorm grote klantenbestand verloren. Of weet je nog die ene keer toen jouw collega zijn werktelefoon én laptop kwijt was geraakt? Of toen die hele stapel papieren naar de verkeerde ontvanger werd verzonden en geopend geretourneerd? Het zijn allemaal momenten waar je liever niet aan terugdenkt, maar toch gebeuren deze dingen in de praktijk nogal vaak. Dit zijn nog steeds de meest voorkomende datalekken. Naast fysieke datalekken vormen ook digitale datalekken een serieus gevaar voor organisaties. Sommige van deze digitale datalekken zijn het gevolg van cyberaanvallen met kwaadaardige software die bijvoorbeeld een computer blokkeert dan wel bestanden versleutelt en ontoegankelijk maakt.
De potentiële gevolgen van een datalek voor de degenen wiens persoonsgegevens door het incident zijn gelekt kunnen aanzienlijk zijn met zelfs materiële, lichamelijke of immateriële schade tot gevolg. Denk hierbij onder andere aan discriminatie als gevolg van het datalek dan wel reputatieschade, psychisch leed, lichamelijk letsel, identiteitsdiefstal of fraude, financiële verliezen etc. Het is daarom zeer belangrijk dat bedrijven datalekken professioneel afhandelen. Daarbij hoort het opstellen van een intern beleid en het creëren van besef bij medewerkers, zodat alle medewerkers precies weten wat een datalek is, hoe zij dit herkennen, bij wie zij het moeten melden en hoe snel die melding moet gebeuren. Naast het behouden van een koel hoofd is het zaak om bij een datalek in elk geval de volgende, door de Autoriteit Persoonsgegevens geadviseerde, stappen te doorlopen:
Stap 1 Overzicht van situatie creëren
Het is belangrijk om in kaart te brengen wat er gebeurd is. Ga na om wat voor soort datalek het gaat. Wat is de oorzaak van het datalek en wanneer is het ontstaan? Bestaat het lek nog steeds? Hoe lang na het ontstaan van het datalek is het ontdekt en hoe is het ontdekt? Wat voor soort persoonsgegevens zijn gelekt? Zijn het gewone of bijzondere persoonsgegevens? Hoeveel persoonsgegevens zijn gelekt en om hoeveel personen gaat het? Hebben onbevoegden toegang tot de persoonsgegevens gehad of kunnen hebben? Weten wij wie deze onbevoegden zijn? Et cetera.
Betrek ook zo snel mogelijk de Functionaris Gegevensbescherming bij het gehele proces (en als die er niet is, degene die zich binnen uw organisatie bezighoudt met privacy).
Stap 2 Schadelijke gevolgen beperken
Nadat men een overzicht van de situatie heeft gecreëerd, is het zaak om er zo snel mogelijk voor te zorgen dat het lek wordt ‘afgedicht’. Er dienen maatregelen ter beperking van de schadelijke gevolgen van het datalek te worden genomen. Voorbeelden hiervan zijn het op afstand wissen of versleutelen van een laptop, tablet of smartphone, het offline halen van een gepubliceerd bestand, het op afstand blokkeren van de toegang tot een medewerkersaccount of clouddienst of een verkeerde ontvanger om een bevestiging vragen dat deze de ontvangen persoonsgegevens uit een brief of e-mail vernietigd. Uiteraard zal het per datalek in kwestie afhangen, welke concrete maatregelen genomen moeten worden.
Stap 3 Datalek melden bij Autoriteit Persoonsgegevens (AP)?
Al tijdens het doorlopen van de eerste twee stappen dient men zich af te vragen – met oog op het al dan niet doen van een melding – welke risico’s voor de betrokken personen aan het datalek kleven. In beginsel dient elk datalek bij de AP gemeld te worden, tenzij het onwaarschijnlijk is dat het datalek een risico voor de rechten en vrijheden van de betrokken personen oplevert. Let op: er mag niet te snel worden aangenomen dat er geen risico is. De grens is lastig te trekken en hangt van het concrete geval af. Wees er snel bij, want een datalek dient uiterlijk 72 uur na ontdekking te worden gemeld!
Stap 4 Datalek melden bij betrokkene?
In sommige gevallen moet het datalek niet alleen bij de AP, maar ook bij de betrokkene(n) worden gemeld. Dit is het geval wanneer het waarschijnlijk is dat het datalek een hoog risico voor de rechten en vrijheden van de betrokkene(n) met zich meebrengt. Hiervan is sprake indien het datalek kan leiden tot o.a. discriminatie, identiteitsdiefstal of fraude, reputatieschade of reputatieschade. Ook hier moet dus per geval bekeken worden of dat nodig is.
Stap 5 Evaluatie en registratie in datalekregister
Indien alle voorgaande stappen correct zijn doorlopen, is men er nog niet helemaal. Elke organisatie dient namelijk een datalekregister bij te houden. Daarin moet elk datalek worden opgenomen, zelfs indien er geen melding is gemaakt bij de AP. Ook dienen de concrete feiten rondom het datalek te worden vermeld, evenals de overwegingen voor het al dan niet melden bij de AP en de betrokkene(n). De bedoeling hiervan is dat organisaties leren van de fouten uit het verleden, hun processen daarop aanpassen en zo datalekken in toekomst (hopelijk zoveel mogelijk) kunnen voorkomen.
Let op! Het onterecht niet of te laat melden van een datalek is een overtreding van de Algemene Verordening Gegevensbescherming. De AP kan hiervoor een boete opleggen.
Dit artikel werd geschreven door Kim Deckers.
Heeft u nog vragen over datalekken of andere privacy gerelateerd onderwerpen?
Stuur dan een bericht aan k.deckers@paulussen.nl.
Nieuws Overzicht