Home / Nieuws & Blogs / Wat te doen bij datalekken?

Wat te doen bij datalekken?

| 18 september 2019
Wat te doen bij datalekken?

Vrijwel dagelijks verschijnen ze in het nieuws: datalekken. Of het nu bij de overheid is, het mkb of een van de techgiganten, elke organisatie heeft ermee te maken. Zo werden er in 2018 maar liefst 20.881 datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld, een verdubbeling ten opzichte van 2017. Wij krijgen vaak de vraag wat een datalek nu precies is, hoe je hier het beste op kunt reageren, en of de AP meteen op de stoep staat na een datalek. In deze blog beantwoorden we deze veelgestelde vragen.

Wat is een datalek en hoe herken ik er een?

De eerste stap naar een datalek is dat er sprake is van een inbreuk op de beveiliging. Op grond van de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties voldoende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Waterdichte beveiliging bestaat echter niet, en dat wordt dan ook niet verwacht. De AVG vereist een beveiligingsniveau dat is afgestemd op het risico van de verwerkingen. Voor bijzondere persoonsgegevens gelden daarom extra strenge maatregelen.

Een inbreuk op de beveiliging betekent dat er iets is gebeurd dat niet in lijn is met de genomen beveiligingsmaatregelen of het -beleid. Om te spreken van een datalek, moet de beveiligingsinbreuk ‘per ongeluk of op onrechtmatige wijze’ leiden tot een verkeerde verwerking. Datalekken kunnen dus niet alleen ontstaan door bijvoorbeeld hacks en aanvallen, maar ook (juist) door menselijke foutjes. De wet houdt hier rekening mee.

Tot slot moet worden gekeken of het incident een risico of zelfs een hoog risico oplevert voor de betrokkene(n). Een datalek dat geen risico voor de betrokkene(n) oplevert, hoeft namelijk niet te worden gemeld. Dit dient wel intern geregistreerd te worden.

De AP heeft eerder dit jaar enkele voorbeelden van datalekken gepubliceerd:

  • Een direct-marketingmail wordt verzonden naar ontvangers in “CC” in plaats van in “BCC”. Hierdoor ziet iedere ontvanger het mailadres van iedere andere ontvanger.
  • Een onlinedienst wordt gehackt, waardoor klantgegevens geëxtraheerd konden worden.
  • Alle persoonsgegevens binnen een organisatie zijn ontoegankelijk door een ransomware-aanval.
  • Een DDOS-aanval leidt ertoe dat een ziekenhuis gedurende 30 uur medische dossiers niet in kan zien.
  • Persoonsgegevens van een groot aantal studenten worden naar de verkeerde mailinglijst verzonden.

Wat moet ik doen als ik een datalek ontdek?

De verwerkingsverantwoordelijke moet een datalek binnen 72 na ontdekking melden bij de toezichthouder. Het is daarom belangrijk dat medewerkers weten wat een datalek is, hoe ze dit kunnen herkennen en wie verantwoordelijk is voor een eventuele melding bij de AP. Behulpzaam hierbij is het hanteren van een calamiteitenplan datalekken, waarin de procedures duidelijk worden uitgelegd.

Ben je veelal verwerker van persoonsgegevens, dan kun je een meldplicht richting je klanten hebben. De wet zegt niet binnen welke termijn deze melding moet worden gedaan, maar dit dient in ieder geval ‘zonder onredelijke vertraging’ na ontdekking te gebeuren. Hier dienen duidelijke afspraken over te worden gemaakt in de verwerkersovereenkomst.

Leidt een datalek tot een hoog risico voor betrokkenen? Dan dienen ook die betrokkenen (in begrijpelijke taal!) te worden geïnformeerd over wat er precies is gebeurd en wat de gevolgen kunnen zijn. Ook dienen zij te horen waar ze terecht kunnen voor meer informatie en of ze zelf nog maatregelen kunnen nemen. De manier waarop is vormvrij: dit mag per mail, maar ook telefonisch of in persoon.

Heb je de maken met een datalek of een beveiligingsincident? Beide dienen in ieder geval intern te worden geregistreerd in een datalekkenregister.

Leidt een datalek tot een boete?

Een datalek levert niet altijd een boete op. Wanneer de beveiliging op orde is, en een datalek netjes wordt gemeld, hoeft de melder zich in principe geen zorgen te maken. Is de beveiliging echter niet op orde en wordt een datalek gemeld, dan kan dit inderdaad leiden tot een onderzoek en een boete voor onvoldoende beveiliging. Is de beveiliging wel op orde, maar wordt een datalek onder het kleed geschoven en de toezichthouder komt hierachter, dan kan dit leiden tot een boete voor het verzwijgen. Is én de beveiliging niet op orde, én er wordt niet gemeld, dan is de organisatie dubbel in overtreding.

Datalekken en beveiliging vallen in de zogenaamde tweede boetecategorie. Dat betekent dat overtreding kan leiden tot een boete van maximaal €10.000.000,- of 2% van de wereldwijde omzet.

Wees voorbereid

Zorg dat het intern duidelijk is wat een datalek is, wat medewerkers moeten doen als ze er een tegenkomen én wat de mogelijke gevolgen zijn van niet-melden. Bestaat er twijfel over of er sprake is van een datalek of een beveiligingsincident, neem dan contact op met één van onze privacy-specialisten.