Wat moet je doen bij een datalek?

Een datalek. Het kan iedere organisatie gebeuren. Door snel te handelen kun je voorkomen dat de gevolgen voor de privacy van je doelgroep groter worden. Daarnaast voorkom of verminder je ook eventuele  imagoschade.

Autoriteit persoonsgegevens adviseert om de volgende stappen te zetten bij een eventuele datalek.

Stappenplan datalek

  1. Zorg voor overzicht op de situatie.
  2. Neem onmiddellijk maatregelen om de schade te beperken
  3. Bepaal of je het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens
  4. Bepaal of je het datalek wel of niet moet melden aan de betrokken personen
  5. Registreer het datalek in een datalekregister

1. Zorg voor overzicht op de situatie

Onderstaande vragen helpen je overzicht te krijgen op de situatie.

  • Om wat voor soort datalek gaat het?
  • Wat is de oorzaak van het datalek?
  • Wanneer is het datalek ontstaan? En bestaat het lek nog steeds?
  • Hoe lang na het ontstaan van het datalek is het ontdekt? En hoe is het ontdekt?
  • Wat voor soort persoonsgegevens zijn er gelekt? Bijvoorbeeld naam, adres, e-mailadressen, creditcardgegevens en/of bijzondere persoonsgegevens.
  • Hoeveel persoonsgegevens zijn er (bij benadering) gelekt? Om hoeveel personen gaat het?
  • Om wat voor groepen mensen gaat het? Bijvoorbeeld klanten, werknemers, scholieren, patiënten, inwoners
  • Hoeveel onbevoegden hadden of hebben bij benadering (mogelijk) toegang tot de gelekte persoonsgegevens?
  • Heb je zicht op wie de onbevoegden zijn? En is het waarschijnlijk dat de onbevoegden kwade bedoelingen hebben met de gegevens? Of gaat het om een bekende, betrouwbare ontvanger?
  • Heeft je organisatie vooraf maatregelen getroffen waardoor de gelekte persoonsgegevens (deels) ontoegankelijk zijn voor onbevoegden? Bijvoorbeeld omdat de gegevens versleuteld zijn?

2. Neem onmiddellijk maatregelen

Bepaal welke stappen je direct kunt nemen om de schade te beperken. Denk daarbij aan het wissen op afstand van een laptop. Maak ook een inschatting welke risico’s het datalek oplevert.

3. Datalek melden bij AP

In de meeste gevallen ben je verplicht om een datalek te melden bij Autoriteit Persoonsgegevens. Dit moet dan binnen 72 uur gebeuren.

Op de site van Autoriteit Persoongegevens kun je een lijst vinden met een overzicht van datalekken die je moet melden.

4. Datalek melden bij betrokken personen

Als je te maken hebt met een datalek dat risico oplevert voor ‘de rechten en vrijheden van betrokkenen moet je deze melden bij de betrokkenen.

 

Van een hoog risico is sprake als een datalek kan leiden tot:

  • Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
  • Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
  • Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
  • Reputatieschade: bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
  • Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische gegevens.

Kijk voor meer informatie hierover op de website van AP.

5. Registreer het datalek in een datalekregister

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om alle datalekken op te nemen in een datalekregister.

  • Wanneer het datalek heeft plaats gevonden;
  • Een omschrijving van het datalek;
  • Beschrijving van welke groep(en) personen er gegevens zijn gelekt;
  • Beschrijving van het type gegevens;
  • Beschrijving wat er met de persoonsgegevens is gebeurd;
  • De mogelijke gevolgen van het datalek;
  • De maatregelen die zijn genomen om de schade te beperken en om herhaling te voorkomen.

De AVG stelt dat alleen ernstige datalekken moeten worden gemeld bij AP. Maar het is wel verplicht om ieder datalek op te nemen in het datalekregister.

Bron: Autoriteit Persoonsgegevens

Artikel delen

X (Twitter)
LinkedIn