Een datalek in je organisatie? Geen reden tot paniek, maar wel tot actie. Wanneer vertrouwelijke gegevens onbedoeld toegankelijk worden, moet je snel en doordacht handelen. Allereerst is het belangrijk om het datalek te isoleren en verdere schade te voorkomen. Daarna volgt een zorgvuldige beoordeling van de situatie, waarbij je bepaalt of je het lek moet melden bij de Autoriteit Persoonsgegevens (AP) en/of betrokkenen moet informeren. Goede documentatie van het incident en de genomen maatregelen is essentieel, niet alleen voor compliance maar ook om hiervan te leren. Met een planmatige aanpak beperk je de impact van een datalek aanzienlijk.
Wat is de definitie van een datalek volgens de AVG?
Volgens de Algemene Verordening Gegevensbescherming (AVG) is een datalek een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of toegang tot persoonsgegevens. Dit gaat veel verder dan alleen het ‘hacken’ van systemen.
Een datalek kan verschillende vormen aannemen. Het kan gaan om een gestolen laptop met onversleutelde gegevens, een e-mail met gevoelige informatie die naar de verkeerde persoon is gestuurd, of een technisch beveiligingsprobleem waardoor gegevens toegankelijk waren. Ook een ransomware-aanval waarbij gegevens worden versleuteld door cybercriminelen valt hieronder.
Belangrijk om te begrijpen is dat een datalek alleen betrekking heeft op persoonsgegevens. Dit zijn alle gegevens die direct of indirect te herleiden zijn naar een natuurlijk persoon, zoals namen, contactgegevens, financiële informatie, gezondheidsgegevens of personeelsdossiers. Bedrijfsgeheimen of andere vertrouwelijke informatie zonder persoonsgegevens vallen niet onder de definitie van een datalek volgens de AVG.
Je kunt meer leren over effectieve databeveiligingsmaatregelen om datalekken te voorkomen. Preventie blijft immers de beste strategie, maar het is even belangrijk om voorbereid te zijn als het toch misgaat.
Wanneer moet je een datalek melden bij de Autoriteit Persoonsgegevens?
Niet elk datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens (AP). Je bent alleen verplicht om een datalek te melden als er een risico is voor de rechten en vrijheden van betrokkenen. Dit moet bovendien binnen 72 uur na ontdekking gebeuren.
Om te bepalen of een melding nodig is, moet je verschillende factoren beoordelen:
- De aard van het datalek: Welke gegevens zijn gelekt en hoe gevoelig zijn deze?
- De omvang: Hoeveel personen zijn getroffen en hoeveel gegevens zijn betrokken?
- De context: In welke omstandigheden heeft het lek plaatsgevonden?
- De mogelijke gevolgen voor betrokkenen: Kunnen zij schade ondervinden?
- De getroffen beveiligingsmaatregelen: Waren de gegevens bijvoorbeeld versleuteld?
Als je bijvoorbeeld een versleutelde back-up kwijtraakt maar niemand kan bij de gegevens komen, is de kans klein dat dit gemeld moet worden. Maar als een onbevoegde toegang heeft gekregen tot je personeelsdossiers, kan dit wel meldingsplichtig zijn vanwege de gevoeligheid van deze gegevens.
Twijfel je? Meld het datalek dan voor de zekerheid. De AP kan je achteraf niet verwijten dat je onnodig hebt gemeld, maar wel als je een meldingsplichtig lek niet hebt gemeld. Voor het melden kun je het meldformulier op de website van de AP gebruiken.
Hoe beperk je direct de schade na ontdekking van een datalek?
Zodra je een datalek ontdekt, is snel handelen cruciaal om verdere schade te voorkomen. De eerste 24 uur zijn vaak bepalend voor de uiteindelijke impact. Begin met het isoleren van het probleem om te voorkomen dat het lek zich verder verspreidt.
Concrete acties die je direct moet nemen zijn:
- Systemen isoleren: Verbreek zo nodig de netwerkverbinding van getroffen systemen zonder bewijs te vernietigen
- Wachtwoorden wijzigen: Reset direct alle betrokken wachtwoorden en inloggegevens
- Toegangsrechten aanpassen: Trek tijdelijk toegangen in of beperk deze tot het noodzakelijke minimum
- Beveiligingslekken dichten: Als er technische kwetsbaarheden zijn gevonden, los deze dan zo snel mogelijk op
- Forensisch bewijs veiligstellen: Maak logbestanden en andere bewijzen veilig voor later onderzoek
Breng daarnaast snel een crisisteam op de been met mensen uit verschillende disciplines: IT, juridisch, communicatie en management. Dit team moet de regie nemen over het incident. Benoem een coördinator die het overzicht houdt en de voortgang bewaakt.
Vergeet niet om goed te documenteren wat er is gebeurd en welke acties je hebt ondernomen. Dit is niet alleen belangrijk voor eventuele meldingen, maar ook voor je interne evaluatie achteraf.
Moet je betrokkenen informeren na een datalek?
Of je betrokkenen moet informeren hangt af van de risico’s die het datalek voor hen oplevert. Als er een hoog risico is voor de rechten en vrijheden van natuurlijke personen, ben je volgens de AVG verplicht om hen “onverwijld” in te lichten.
Een hoog risico is bijvoorbeeld aanwezig als er gevoelige gegevens zijn gelekt die kunnen leiden tot identiteitsfraude, financiële schade of reputatieschade. Denk aan kopieën van identiteitsbewijzen, medische gegevens of financiële informatie.
Als je besluit betrokkenen te informeren, moet je communicatie het volgende bevatten:
- Een duidelijke beschrijving van wat er is gebeurd
- Welke persoonsgegevens zijn betrokken
- De mogelijke gevolgen van het datalek
- De maatregelen die je hebt genomen om het lek te stoppen
- Eventuele maatregelen die betrokkenen zelf kunnen nemen om risico’s te beperken
- Een contactpunt voor vragen
Transparantie is hierbij essentieel. Wees eerlijk over wat er is gebeurd, zonder in paniek te raken. Bied concrete hulp aan betrokkenen waar mogelijk. Een goed uitgevoerde communicatie kan helpen het vertrouwen te behouden, terwijl een slechte communicatie juist tot extra reputatieschade kan leiden.
Je bent niet verplicht betrokkenen te informeren als je doeltreffende technische maatregelen hebt genomen waardoor de gegevens onbegrijpelijk zijn geworden voor onbevoegden, zoals goede versleuteling.
Hoe documenteer je een datalek voor interne en externe verantwoording?
Goede documentatie van een datalek is om meerdere redenen belangrijk: het helpt je te voldoen aan de verantwoordingsplicht uit de AVG, het geeft inzicht voor toekomstige preventie, en het kan dienen als bewijsmateriaal bij eventuele claims of onderzoeken.
Een volledig datalekdossier bevat minimaal de volgende elementen:
- Een gedetailleerde beschrijving van het incident: wat is er precies gebeurd en wanneer?
- De oorzaak van het datalek: was het menselijk falen, een technisch probleem of een cyberaanval?
- De soorten persoonsgegevens die betrokken zijn en het aantal betrokkenen
- De mogelijke gevolgen van het datalek voor betrokkenen
- De genomen maatregelen om het lek te dichten en herhaling te voorkomen
- De communicatie met de AP en betrokkenen (indien van toepassing)
- Een tijdlijn van alle ondernomen acties
- Een evaluatie: wat ging goed, wat kon beter en welke lessen zijn er geleerd?
Organiseer na het incident een grondige evaluatie. Kijk kritisch naar wat goed ging en wat beter kon. Vertaal de geleerde lessen naar concrete verbeteracties in je beveiliging, procedures of training van medewerkers.
Bewaar alle documentatie op een veilige maar toegankelijke plaats. De AP kan namelijk vragen om inzage in je datalekregister. Ook als je het datalek niet hebt gemeld bij de AP, ben je verplicht om alle datalekken intern te registreren.
Een goed gedocumenteerd datalek stelt je ook in staat om achteraf verantwoording af te leggen aan je klanten, partners of aandeelhouders over hoe je met het incident bent omgegaan.
Bij DesktopToWork begrijpen we hoe belangrijk het is om goed voorbereid te zijn op mogelijke datalekken. Met de juiste procedures, training en beveiligingsmaatregelen kun je niet alleen de kans op een datalek verkleinen, maar ook de impact ervan beperken als het toch gebeurt. Een goed beveiligde IT-omgeving vormt samen met een duidelijk incidentresponsplan je beste verdediging tegen de gevolgen van een datalek.
Altijd, overal en op ieder apparaat veilig met elkaar werken.