Direct aan de slag met het stappenplan datalekken
Er wordt een datalek ontdekt binnen uw organisatie. Persoonsgegevens liggen op straat of zijn tijdelijk onbedoeld benaderbaar voor derden. Wat nu? Met dit stappenplan bent u er klaar voor: zowel voor, tijdens als na een datalek weet u wat u moet doen.
Acties vóór een datalek
Het begint met een datalekprotocol binnen uw organisatie. Weten medewerkers wat ze moeten doen als ze een datalek vinden? Waar ze die moeten melden en welke stappen ze moeten nemen?
Bent u niet helemaal zeker?
Lees dan de 3 stappen ter voorbereiding op een datalek door.
1. Hoe herken je een datalek?
Kunnen uw medewerkers een datalek eigenlijk herkennen? Bewustwording is stap 1. Zorg dat uw mensen getraind zijn om een datalek als zodanig te herkennen en wat ze kunnen doen om er één te voorkomen. Bijvoorbeeld door BCC te gebruiken in plaats van CC in hun mailtjes, zodat niet alle e-mailadressen zichtbaar zijn voor alle geadresseerden, of door phishing e-mails te kunnen identificeren. Het onderwerp datalekken verdient een plek in uw trainingen, overleggen en inwerkprogramma.
2. Intern meldpunt
Het melden van een datalek moet zonder gevolgen zijn en blijven voor uw medewerkers. Z moeten zich vrij voelen om een lek te melden en uiteraard weten bij wie en hoe ze dit kunnen doen.
3. Procedure datalekken
In een datalek procedure neemt u in ieder geval de volgende punten op:
Wie eerste aanspreekpunt is bij een datalek;
De termijn waarbinnen het datalek intern moet worden gemeld;
Verantwoordelijken en de te nemen acties door medewerkers om een datalek te beëindigen en indien nodig te melden.
Acties gedurende een datalek
Als er inderdaad sprake is van een datalek binnen uw organisatie, dan is het zaak om deze zo snel mogelijk te beëindigen en de schade ervan te beperken.
Snel overzicht over de situatie krijgen? Beantwoord deze 10 vragen, opgesteld door de Autoriteit Persoonsgegevens (AP):
Om wat voor soort datalek gaat het?
Wat is de oorzaak van het datalek?
Wanneer is het datalek ontstaan? En bestaat het lek nog steeds?
Hoe lang na het ontstaan van het datalek is het ontdekt? En hoe is het ontdekt?
Wat voor soort persoonsgegevens zijn er gelekt? Bijvoorbeeld naam, adres, e-mailadressen, creditcardgegevens en/of bijzondere persoonsgegevens.
Hoeveel persoonsgegevens zijn er (bij benadering) gelekt? Om hoeveel personen gaat het?
Om wat voor groepen mensen gaat het? Bijvoorbeeld klanten, werknemers, scholieren, patiënten, inwoners etc. Gaat het om kwetsbare groepen? Bijvoorbeeld kinderen, gehandicapten of bejaarden.
Hoeveel onbevoegden hadden of hebben bij benadering (mogelijk) toegang tot de gelekte persoonsgegevens?
Heeft u zicht op wie de onbevoegden zijn? En is het waarschijnlijk dat de onbevoegden kwade bedoelingen hebben met de gegevens? Of gaat het om een bekende, betrouwbare ontvanger?
Heeft uw organisatie vooraf maatregelen getroffen waardoor de gelekte persoonsgegevens (deels) ontoegankelijk zijn voor onbevoegden? Bijvoorbeeld omdat de gegevens versleuteld zijn?
Acties (tijdens en) na een datalek
De gegevensverantwoordelijke dient een datalek uiterlijk binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Bij het beoordelen van een datalek kijkt u vooral naar de risico’s die het lek met zich meebrengen. Denk aan:
gaat het om gevoelige persoonsgegevens?
gaat het om kwetsbare groepen zoals kinderen?
waar zijn de gegevens terecht gekomen?
om de gegevens van hoeveel personen gaat het?
De betrokken personen informeert u alleen als er sprake is van een hoog risico.
De AP heeft een voorbeeldlijst wel/niet melden aan de AP en betrokken personen opgesteld om u te helpen bij uw afweging.
Blijf op de hoogte
Op de hoogte blijven van deze en andere ontwikkelingen en actualiteiten? Abonneert u zich dan nu op de maandelijkse nieuwsbrief van ICT-advocatenkantoor Legalz.