Stappenplan bij een datalek

Het kan iedere organisatie overkomen: een datalek. De afgelopen tijd zijn er veel grote datalekken in het nieuws geweest. Maar wat als het jouw organisatie overkomt? Weet je wat je dan moet doen?

Het is belangrijk om snel te handelen bij een datalek. Op deze manier kunnen de gevolgen voor de privacy van de doelgroep, en de imagoschade van je organisatie, beperkt worden. In deze blog vertellen we je stap voor stap wat je moet doen.
 

Stappenplan

Volgens de Autoriteit Persoonsgegevens moeten de volgende stappen gevolgd worden bij een datalek:

1. Zorg voor overzicht op de situatie

Het is belangrijk om eerst in kaart te brengen wat er precies aan de hand is. Dus:

• Wanneer en hoe is het datalek ontstaan?
• Welke persoonsgegevens zijn gelekt en hoeveel?
• Om welke groepen mensen gaat het en zitten hier kwetsbare groepen tussen?
• Heb je zicht op wie de onbevoegden zijn en hebben deze kwade bedoelingen met de gegevens?
• Heeft jouw organisatie vooraf maatregelen genomen om de gelekte persoonsgegevens te beveiligen.

2. Neem onmiddellijk maatregelen om de schade van het datalek te beperken.

Als het datalek nog bestaat, moet deze zo snel mogelijk worden beëindigd. Daarnaast moet je maatregelen nemen om negatieve gevolgen te beperken. Denk hierbij aan:

• Gepubliceerde bestanden offline halen
• Apparaten (laptop, telefoons) op afstand versleutelen of blokkeren
• Een verkeerde ontvanger vragen om de gegevens te verwijderen en hiervan een bevestiging te sturen
   

3. Bepaal of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens

Of een datalek gemeld moet worden is afhankelijk van de impact op de betrokkenen. Een lek hoeft niet gemeld te worden als het niet waarschijnlijk is dat het een risico oplevert voor de rechten en vrijheden van betrokkenen.

Je hoeft het datalek niet te melden in de volgende gevallen:

1. Door passende maatregelen die vooraf zijn getroffen, zijn de gelekte gegevens onbegrijpelijk voor onbevoegden, bijvoorbeeld doordat deze goed zijn versleuteld. De gegevens zijn nog intact, je hebt nog volledige controle, en de sleutel voor de encryptie heeft geen gevaar gelopen bij het lek.

2. De onbevoegde ontvanger is betrouwbaar. Het is dan niet waarschijnlijk dat het lek een risico oplevert.
    

4. Bepaal of het datalek gemeld moet worden aan de betrokken personen.

Je hoeft de betrokkenen alleen te informeren als het lek een hoog risico voor hun rechten en vrijheden oplevert. Als je aannemelijk kan maken dat dit niet het geval is, hoeft het niet gemeld te worden.

Wanneer je een datalek niet hoeft te melden aan de AP, hoef je het ook niet te melden aan de betrokken personen. Je hoeft het ook niet te melden aan betrokken personen in de volgende gevallen:

1. Er zijn onmiddellijk maatregelen getroffen waardoor er geen hoog risico meer is voor de rechten en vrijheden van betrokkenen.

2. Uitzonderingen uit de wet: bijvoorbeeld wanneer het noodzakelijk is voor nationale of openbare veiligheid, of de bescherming van de privacy van anderen, om de melding achterwege te laten.

5. Registreer het datalek in je datalekregister.

Dit moet altijd. In het register houd je elke datalek van jouw organisatie bij. Je mag zelf bepalen welke vorm dit register krijgt, zolang je maar de wettelijke verplichte informatie opneemt:

• de feiten over de inbreuk, zoals de oorzaak, wat er precies is gebeurd en om welke persoonsgegeven het gaat;
• de gevolgen van de inbreuk;
• de corrigerende maatregelen die je hebt genomen.

Je hoopt natuurlijk dat het jouw organisatie nooit overkomt. Maar mocht het gebeuren, dan weet je nu welke stappen je moet zetten om de schade te beperken en aan je verplichtingen te voldoen.