Wat moet ik doen bij een datalek?

Iedere organisatie die niet incidenteel met persoonsgegevens werkt, moet een protocol meldplicht datalekken hebben. Daarin beschrijf je de procedure die je moet volgen bij een datalek. Het is verstandig als je je werknemers hiervan ook goed op de hoogte stelt en het met hen doorneemt. Zo is iedereen goed op de hoogte van wat er moet gebeuren en waarop moet worden gelet bij een datalek. Maak nu eenvoudig je protocol meldplicht datalekken.

Op grond van de AVG moet je ook een register datalekken hebben. Dat hoeft niet heel ingewikkeld te zijn: een register in de vorm van een excel sheet is goed genoeg. Daarin registreer je alle datalekken en informatie zoals de datum en omvang van het datalek en wat je eraan hebt gedaan. Doe je dat niet en krijg je ooit een onderzoek waaruit blijkt dat je niet voldoet aan de eisen van de AVG, dan kun je alsnog een hoge boete krijgen. 

Een datalek zoals bedoeld in de AVG houdt kort samengevat in dat persoonsgegevens verloren zijn gegaan of in verkeerde handen terecht zijn komen. Zijn je bedrijfsresultaten gehackt, dan is er geen datalek in de zin van de AVG zolang daarbij geen persoonsgegevens zijn gelekt. 

Een datalek als gevolg van een gestolen laptop kun je niet meer stoppen, maar een cyberaanval bijvoorbeeld kun je wel proberen te stoppen. Installeer (andere) anti-malware en blokkeer accounts, plaats nieuwe wachtwoorden met extra autorisatie of verplaats je data naar een veiligere omgeving.

Probeer te achterhalen hoe het datalek kon plaatsvinden. Is het een losstaand incident of het logische gevolg van een fout in de beveiliging van je systemen? Deze informatie heb je ook nodig bij stap 9, om maatregelen te kunnen nemen tegen toekomstige lekken. Vergeet deze informatie ook niet in je register datalekken vast te leggen!

De gevolgen van een datalek kunnen te verwaarlozen zijn, maar afhankelijk van de omvang van het datalek en de soort gelekte gegevens, kunnen ook aanzienlijk zijn. Inventariseer daarom goed om welke persoonsgegevens het gaat, bij wie ze eventueel terecht zijn gekomen en wat de mogelijke gevolgen zijn. Mogelijke gevolgen zijn onder andere: imagoschade, misbruik voor identiteitsfraude, aantasting van de goede naam of benadeeld kunnen worden bij het zoeken van een baan. Afhankelijk van de mogelijke gevolgen moet je het lek wel of niet melden.  

Niet ieder datalek hoef je te melden bij de Autoriteit Persoonsgegevens. Je moet een datalek melden als het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen. Dit betekent kort gezegd dat het om gevoelige gegevens zoals medische informatie moet gaan. Let erop dat je een lek in principe binnen 72 uur na ontdekking moet melden!

Als je een lek moet melden aan de Autoriteit Persoonsgegevens, betekent het nog niet dat je het ook moet melden aan de personen waarvan de gegevens zijn gelekt. Daarvoor moet het lek een ‘hoog risico inhouden voor de rechten en vrijheden van de betrokken personen’. Van een hoog risico is sprake als de gevolgen behoorlijk schadelijk kunnen zijn voor de persoonlijke levenssfeer van de mensen van wie de gegevens zijn gelekt. Dit is bijvoorbeeld het geval wanneer creditcard gegevens zijn gehackt.

Ten slotte moet je toekomstige datalekken zoveel mogelijk voorkomen. Zorg daarom voor voldoende technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens te kunnen beschermen. Lees verder welke technische en organisatorische maatregelen je kunt treffen om persoonsgegevens te beschermen. 

Naast een register datalekken en datalek protocol heb je voor bescherming van persoonsgegevens de volgende documenten nodig:

• een verwerkingsregister waarin je vastlegt welke persoonsgegevens je voor welke doeleinden verwerkt 

• een privacyverklaring waarin je vastlegt welke persoonsgegevens je verzamelt en op basis waarvan