Het melden van een datalek: welke stappen doorloop je?

4 min lezen - gepubliceerd op 7 mei 2018

Je hoopt de informatie in dit artikel nooit nodig te hebben, want als dat wel het geval is heeft er waarschijnlijk een datalek plaatsgevonden. Helaas is het niet de vraag óf, maar wanneer er een datalek plaatsvindt bij jouw organisatie. Het is dus goed om je hierop voor te bereiden. Met deze stappen weet je zeker dat je niks mist als je een datalek meldt.

Datalekken, je kunt ze (haast) niet voorkomen

Laten we vooropstellen dat een datalek onvermijdelijk is. Veel van jouw medewerkers zijn de hele dag met informatie bezig. Ze bellen, sturen faxen, maken printjes en sturen tientallen e-mails. Een datalek is zo veroorzaakt. Een medewerker laat een printje liggen,vergrendelt zijn scherm niet of verstuurt informatie naar de verkeerde ontvanger, en vertrouwelijke informatie is beschikbaar voor onbevoegden.

Als dat gebeurt, moet je het datalek dan melden? Zo ja, welke informatie heb je nodig om dit te doen en wie moet je informeren? Lees meer over de vijf zaken die spelen bij het melden van een datalek onder de AVG.

Het melden van datalekken

Wanneer er persoonsgegevens lekken, moet de organisatie dit melden bij de Autoriteit Persoonsgegevens (AP). Maar voordat je dit kunt doen, loop je een aantal stappen door.

1.      Zorg ervoor dat je medewerkers weten dat ze een datalek moeten melden

Als het misgaat, moet je het datalek melden. De eerste stap is dat iemand het lek meldt bij de Chief Information Security Officer (of functionaris gegevensbescherming, data protection officer) van de eigen organisatie.

In de praktijk gebeurt dit niet met alle datalekken. Dit kan verschillende redenen hebben. Wellicht zijn de betrokkenen zich er niet van bewust dat zij een datalek hebben veroorzaakt. Een andere reden om een datalek niet te melden heeft te maken met angst voor de eigen positie. Sommige medewerkers gokken er misschien op dat hun fout niet ontdekt wordt.


Dit is misschien wel de moeilijkste stap van het hele meldproces. Medewerkers moeten zich bewust zijn van het belang van een goede bescherming van persoonsgegevens. De cultuur binnen de organisatie kan ervoor zorgen dat medewerkers datalekken durven te melden, ook als ze nalatig zijn geweest. Het melden van een datalek moet makkelijk zijn, bijvoorbeeld via een formulier op intranet.

2.      Verzamel informatie over het datalek

Alleen als je weet wat er is gebeurd, kan de CISO bepalen of hij het datalek moet melden bij de AP (Autoriteit Persoonsgegevens). Je hebt in ieder geval de volgende informatie nodig:

Wat is er precies gebeurd?

Om te bepalen of er een beveiligingsincident of een datalek heeft plaatsgevonden, moet je weten wat er precies is gebeurd, en wanneer. Weet je of er een onrechtmatige verwerking van de data heeft plaatsgevonden? Dan is het een datalek. Zo niet, dan is het een beveiligingsincident.

Bijvoorbeeld:

Een van je medewerkers stuurt per ongeluk een e-mail met cijfers van een klant naar de journalist met wie hij wel eens samenwerkt. De journalist heeft direct door dat dit niet de bedoeling is en verwijdert de e-mail zonder er verder iets mee te doen. In dit geval is er een beveiligingsincident geweest, maar kun je aantonen dat er geen onrechtmatige verwerking heeft plaatsgevonden

Om wat voor soort gegevens gaat het?

Het is van belang om te weten om wat voor informatie het gaat bij dit datalek. Gaat het om gevoelige persoonsgegevens of om data die op andere wijze nadelige gevolgen heeft voor de bescherming van de persoonsgegevens? Het vrijkomen van een BSN kan nadelige gevolgen hebben voor een klant (denk aan identiteitsfraude). Deze informatie heb je nodig om een inschatting te maken van de gevolgen van het verlies van bepaalde gegevens. Denk daarom goed na hoe je erachter gaat komen welke gegevens het datalek betreft.

3.      Beoordeel of het datalek moet worden gemeld en beperk de schade

Aan de hand van bovenstaande informatie kun je oordelen of het lek moet worden gemeld. Hiervoor beantwoord je de volgende vraag:


Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan of is niet uit te sluiten dat gegevens onrechtmatig verwerkt zijn?

Ja > Er is sprake van een datalek.  Melding is noodzakelijk.

Nee >Er is geen sprake van een datalek. Melding is niet noodzakelijk


Als je weet dat het een datalek is: beperk de schade dan zo veel mogelijk. Vernietig het verkeerde printje, trek autorisatie in of haal verkeerd verzonden e-mails terug.

4.      Meld het datalek bij de AP (indien nodig)

Als je het datalek moet melden, dan kan dit via het formulier bij het meldloket op de website van de AP. Hiervoor heb je de informatie die je bij stap twee verzameld hebt nodig. Daarnaast moet je aan kunnen geven wat de impact van het lek is, of je de betrokkenen al op de hoogte hebt gesteld en welke maatregelen je gaat nemen om een lek in het vervolg te voorkomen.

5.      Meld het datalek bij betrokkenen (indien nodig)

Wanneer het noodzakelijk is om het datalek bij betrokkenen te vermelden, dan moet dit volgens de AP ‘onverwijld’ gebeuren. Er zijn geen verder geen aanwijzingen over hoe dit moet gebeuren.  Het is belangrijk om goed na te denken over hoe je de betrokkenen, bijvoorbeeld jouw klanten, gaat inlichten. De reputatie van je organisatie loopt immers behoorlijke schade op. Een goede manier is je klanten tips te geven hoe om te gaan met de gevolgen van het datalek. Zorg ervoor dat je communicatieformats hebt klaarliggen die de organisatie snel kan versturen in het geval van een datalek. Denk er ook aan dat als je een overzicht moet geven van de gelekte data, je dit ook op een veilige manier doet.

 

Hoe ga je om met datalekken?

Het zwaartepunt bij het omgaan met de meldplicht datalekken zit vroeg in het proces. Er is namelijk veel bewustzijn in de organisatie nodig. Wil je weten hoe je het bewustzijn van privacy, de AVG en indien van toepassing de NTA 7516 in de organisatie vergroot? Download gratis ons e-book.

Download het e-book

Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.