Een datalek, wat moet ik ermee?!
In het blog van 31 mei 2017 gaven we u 10 tips om uw organisatie klaar te maken voor de Algemene Verordening Gegevensbescherming (AVG). Deze wordt van kracht op 25 mei 2018 en zal dan de Wet bescherming persoonsgegevens (Wbp) vervangen.
In dit blog ga ik nader in op tip 3: Stel een procedure op voor datalekken zodat duidelijk is welke stappen uw organisatie moet nemen wanneer sprake is van (een vermoeden van) een datalek.
Wat is een datalek?
Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben of verloren gaan én als dat het gevolg is van een beveiligingsprobleem, is sprake van een datalek. Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en wel binnen 72 uur na ontdekking door u óf – indien eerder – uw (sub)bewerker. Daarnaast kan het zo zijn dat het datalek ook aan de betrokkene moet worden gemeld. Of dat zo is hangt af van de omstandigheden van het geval. In mijn blog van 16 mei 2017 ben ik ook ingegaan op datalekken en op de vraag wat te doen bij een datalek.
Veranderingen onder de AVG?
De komst van de AVG zal voor wat betreft de meldplicht datalekken niet veel veranderen. Het verschil met de huidige meldplicht is dat er onder de AVG alleen een melding bij de Autoriteit Persoonsgegevens moet worden gedaan als daadwerkelijk sprake is van een datalek. Nu geldt dat een beveiligingsincident al een datalek is wanneer de onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden. Een ander verschil is dat de AVG straks zwaardere eisen stelt aan de registratie van datalekken.
Voorzorgsmaatregelen, procedure en stappenplan
Van belang is dat zoveel mogelijk wordt voorkomen dat een datalek zal plaatsvinden. Daarvoor is van cruciaal belang dat de beveiliging van de systemen binnen uw organisatie waarin persoonsgegevens worden verwerkt op orde en up to date zijn. Dit kunt u bereiken door een strikt patch- en updatebeleid te hanteren voor uw systeemsoftware, firewall en antivirussoftware. Maar dat alleen is niet voldoende. Ook het bewustzijn bij de medewerkers binnen de organisatie van de risico’s is van groot belang. Een datalek kan gemakkelijk worden veroorzaakt doordat bijvoorbeeld een USB-stick met persoonsgegevens ergens rondslingert of dat bestanden met persoonsgevens te gemakkelijk toegankelijk zijn voor een te grote groep mensen. Het hanteren, kenbaar maken en toezien op duidelijke regels op dit gebied zal bijdragen aan de bewustwording en verkleint de kans op een datalek. In een later blog in deze reeks blogs over de komst van de AVG zal nog nader worden ingegaan op beveiligingsmaatregelen (tip 9).
Ondanks alle voorzorgsmaatregelen kan zich toch een datalek voordoen. Hoe dient u in dat geval te handelen? Onderstaand een handig stappenplan.
Neem allereerst enkele stappen om in geval van een datalek snel en goed te kunnen handelen. Denk daarbij aan:
a. Afspraken maken
Verplicht uw (sub)bewerkers contractueel om datalekken zo spoedig mogelijk, bijvoorbeeld binnen 24 uur na ontdekking, te melden met daarbij alle benodigde informatie. Dit om uzelf in staat te stellen aan uw eigen meldingverplichting te voldoen.
b. Incidentenbeheer
Zorg voor geautomatiseerde controle op hacks en malware. Maak ook afspraken binnen de organisatie voor het melden van interne en externe beveiligingsincidenten; stel een vast aanspreekpunt binnen de organisatie aan, spreek af hoe snel er gemeld en gehandeld wordt en zorg voor controle op de naleving van de afspraken.
c. Communicatie en reputatie
Stel alvast een plan op hoe te communiceren in geval van een datalek, zowel met de betrokkenen als met de pers. Dat kan bijdragen aan het voorkomen van reputatieschade. Bepaal ook alvast in welke gevallen wel of geen externe deskundigen zullen worden ingeschakeld.
d. Verzekering
Sluit een cyberriskverzekering af. Let daarbij wel goed op de dekking en op uitsluitingen en eigen risico. En let ook op dekking ten aanzien van eventuele boetes.
Mocht zich een datalek voordoen, dan bent u daarop in ieder geval in zekere mate voorbereid. Als het datalek zich voordoet, onderneem dan de volgende stappen:
1. Inbreuk op beveiliging?
Ga na of persoonsgegevens verloren zijn gegaan of dat sprake is van onrechtmatige verwerkingen, bijvoorbeeld onbevoegde kennisname, vernietiging of onbereikbaarheid van persoonsgegevens (beveiligingsincident).
2. Onderzoek
- Detecteer welke beveiligingsincidenten zich hebben voorgedaan en onderzoek wat de oorzaak daarvan is.
- Onderzoek het beveiligingsincident: wat is de aard van de getroffen gegevens (wel of geen bijzondere (bijvoorbeeld medische) of vertrouwelijke (bijvoorbeeld financiële) persoonsgegevens) en wat is daarmee precies gebeurd?
- Onderzoek de omvang van het beveiligingsincident: hoeveel personen zijn getroffen en wat is de hoeveelheid gegevens per getroffen persoon en worden de getroffen gegevens binnen een keten gedeeld?
- Onderzoek wat de impact is van het datalek op de betrokkenen (klanten/prospects/personeel/burgers): is sprake van kwetsbare groepen (bijvoorbeeld kinderen, ouderen, zieken, verstandelijk beperkten) en is er kans op financieel nadeel?
- Ten slotte: repareer de inbreuk. Tref maatregelen om de gevolgen van het beveiligingsincident te beperken en om herhaling te voorkomen.
3. Meldingsplicht Autoriteit Persoonsgegevens
Meld het datalek wanneer sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor bescherming van persoonsgegevens. U dient dit zelf af te wegen. Voor een melding maakt u gebruik van het Meldingsformulier Datalekken.
4. Informeren betrokkenen?
Als de inbreuk op de beveiliging bovendien waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, is niet alleen sprake van een meldingsplicht bij de Autoriteit Persoonsgegevens, maar dient ook betrokkene zelf te worden geïnformeerd. Of daarvan sprake is dient u zelf af te wegen. Van een informatieplicht is geen sprake wanneer de gegevens onbegrijpelijk of ontoegankelijk zijn gemaakt (bijvoorbeeld versleuteling of remote wissen).
5. Registratie beveiligingsincidenten
De AVG stelt strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Houd daarom een overzicht bij van alle incidenten die gemeld moeten worden aan de Autoriteit Persoonsgegevens en bewaar dit overzicht minimaal één jaar en wanneer de betrokkenen niet worden geïnformeerd minimaal drie jaar.
Vervolg
In het volgende blog in deze reeks blogs over de AVG zal nader worden ingegaan op de Functionaris Gegevensbescherming. Wordt het aanstellen van een Functionaris Gegevensbescherming ook voor uw organisatie verplicht?
Zie ook:
- Met 10 tips klaar voor Algemene Verordening Gegevensbescherming
- Maak uw organisatie AVG-proof: begin met een grondige inventarisatie
- Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
- Register voor verwerkingsactiviteiten onder de nieuwe AVG
- De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkersovereenkomst
- De nieuwe privacyverklaring
- De AVG: Wat is een PIA en moet u daar iets mee?
- De AVG: Is uw beveiliging van persoonsgegevens op orde?