Acties bij een datalek

Wanneer u niet adequaat reageert op een datalek kunnen de nadelige gevolgen voor de betrokken personen groter worden.

Daarnaast kan het gevolgen hebben voor het imago van uw organisatie. Want wanneer u niet snel genoeg of helemaal niet in actie komt bij een datalek loopt u het risico dat:

• u in overtreding bent. Omdat u mogelijk een meldplichtig datalek niet of niet op tijd meldt aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen.
• de AP tips ontvangt van uw klanten, burgers, medewerkers etc. over dat u een mogelijk meldplichtig datalek niet bij ons heeft gemeld.
• uw doelgroep ontdekt dat u ze onterecht niet heeft geïnformeerd over een ernstig datalek van hun persoonsgegevens. Dit kan het vertrouwen in uw organisatie schaden.

Zie ook

• AP-stappenplan: ‘Kom in actie bij een datalek’
• Privacy-video ‘Wat moet ik doen bij een datalek?' 

Om snel te kunnen reageren op een datalek moet u maatregelen treffen om ervoor te zorgen dat iedereen in uw organisatie een (mogelijk) datalek onmiddellijk signaleert en intern meldt. Daarnaast is het een goed idee om een intern werkproces vast te stellen dat houvast biedt zodra er een datalek is.

Zie ook: wat gaat er mis als ik als organisatie niet snel handel bij een datalek? 

1. Herkennen van een (mogelijk) datalek

Snel handelen begint natuurlijk bij het herkennen van een mogelijk datalek. Daarvoor moeten uw medewerkers weten wat een datalek is. Besteed daarom intern aandacht aan het onderwerp. Bijvoorbeeld tijdens een (inwerk)training of overleg. Stem de informatie af op het werkproces van de medewerker. Mailt iemand bijvoorbeeld veel met (onbekende) externe partijen? Wijs dan onder meer op het herkennen van phishing e-mails.

2. Intern melden

Uw medewerkers moeten niet terughoudend zijn om een datalek intern te melden. Het kan namelijk iedereen overkomen en het is juist professioneel om meteen in actie te komen. Besteed daarom intern aandacht aan het onderwerp. En zorg dat iedereen op de hoogte is van het ‘werkproces datalekken’, zie punt 3.

3. Uw werkproces datalekken

In uw interne werkproces voor datalekken neemt u bijvoorbeeld de volgende informatie op:

• Wie het eerste aanspreekpunt is bij een (mogelijk) datalek. Bijvoorbeeld de directeur, een privacycontactpersoon of functionaris gegevensbescherming.
• De termijn waarbinnen medewerkers een (mogelijk) datalek bij het aanspreekpunt moeten melden.
• Contactgegevens van het aanspreekpunt. Is er een noodlijn buiten kantooruren? Wie is achtervang tijdens vakanties?
• Afspraken wie, wat doet rondom de vervolgstappen om een datalek te beëindigen. Ter inspiratie zie ons stappenplan ‘Kom in actie bij een datalek’ of de privacy-video 'Wat moet ik doen bij een datalek?
• De wijze waarop uw organisatie het datalek intern registreert.

Is er sprake van een datalek door uw organisatie? Dan moeten uw eerste acties erop gericht zijn om het datalek te beëindigen en de eventuele negatieve gevolgen voor de betrokken personen te beperken.

Onderstaande 10 vragen helpen u om overzicht te krijgen op de situatie. Zodat u de juiste vervolgstappen kunt nemen. 

• Om wat voor soort datalek gaat het?
• Wat is de oorzaak van het datalek?
• Wanneer is het datalek ontstaan? En bestaat het lek nog steeds?
• Hoe lang na het ontstaan van het datalek is het ontdekt? En hoe is het ontdekt?
• Wat voor soort persoonsgegevens zijn er gelekt? Bijvoorbeeld naam, adres, e-mailadressen, creditcardgegevens en/of bijzondere persoonsgegevens.
• Hoeveel persoonsgegevens zijn er (bij benadering) gelekt? Om hoeveel personen gaat het?
• Om wat voor groepen mensen gaat het? Bijvoorbeeld klanten, werknemers, scholieren, patiënten, inwoners etc. Gaat het om kwetsbare groepen? Bijvoorbeeld kinderen, gehandicapten of bejaarden.
• Hoeveel onbevoegden hadden of hebben bij benadering (mogelijk) toegang tot de gelekte persoonsgegevens?
• Heeft u zicht op wie de onbevoegden zijn? En is het waarschijnlijk dat de onbevoegden kwade bedoelingen hebben met de gegevens? Of gaat het om een bekende, betrouwbare ontvanger?
• Heeft uw organisatie vooraf maatregelen getroffen waardoor de gelekte persoonsgegevens (deels) ontoegankelijk zijn voor onbevoegden? Bijvoorbeeld omdat de gegevens versleuteld zijn?

Tip: zorg dat u een werkproces klaar heeft liggen. Zodat duidelijk is wie wat doet bij een datalek en u niet onnodig tijd verliest.

Vervolgstappen

Ook als u nog niet alle informatie heeft, kunt u het datalek vaak al beëindigen en vervolgstappen nemen. Zoals maatregelen treffen om de schade te beperken en nagaan of u het datalek moet melden aan de Autoriteit Persoonsgegevens (AP). Daarna kunt u uitgebreider onderzoek doen en eventueel een vervolgmelding doen bij de AP. 

• AP-stappenplan: ‘Kom in actie bij een datalek’
• Privacy-video ‘Wat moet ik doen bij een datalek?’

Hoe u de gevolgen van een datalek beperkt, hangt natuurlijk volledig af van de situatie. Ten eerste moet u het datalek onmiddellijk zien te beëindigen als het nog bestaat. Daarnaast moet u maatregelen nemen om de negatieve gevolgen te beperken.

Voorbeelden van maatregelen

Voorbeelden van maatregelen om schade bij een datalek te beperken zijn:

• Een laptop, tablet, of smartphone op afstand wissen of versleutelen.
• Een gepubliceerd bestand offline halen.
• Een verkeerde ontvanger vragen om een bevestiging dat de gegevens uit een brief of e-mail zijn vernietigd. Hoewel u op basis van zo’n bevestiging niet 100% zeker weet dat de gegevens zijn, kunt u het wel meenemen in uw risico-inschatting.
• Het op afstand blokkeren van de toegang tot een medewerkersaccount of clouddienst.
• Wanneer u verplicht bent om de betrokken personen te informeren, aangeven wat zij zelf kunnen doen om de schade te beperken.

Diepgaand onderzoek bij complexe datalekken

Soms is er sprake van een complex datalek. In zo’n geval is het vaak nodig om een diepgaand digitaal forensisch onderzoek uit te voeren om de ernst en omvang van het lek vast te stellen. En te bepalen welke maatregelen u moet nemen.

Is er in uw organisatie sprake van een complex datalek? Bijvoorbeeld door ransomware? En heeft u geen idee wat u moet doen? Schakel dan een expert in. Bijvoorbeeld een digitaal forensisch expert.

Zie ook: hoe bepaal ik welke maatregelen ik moet nemen om mijn verwerkingen te beveiligen?

Vervolgstappen

• AP-stappenplan: ‘Kom in actie bij een datalek’
• Privacy-video ‘Wat moet ik doen bij een datalek?’

Er is geen kant-en-klare-oplossing waarmee iedere organisatie gegarandeerd beveiligd is tegen datalekken. Het gaat in de praktijk om een set van verschillende maatregelen die elkaar aanvullen en versterken en die u steeds moet controleren en waar nodig moet bijstellen (plan-do-check-act). Deze set maatregelen is voor iedere organisatie anders.

Passende maatregelen

In de Algemene verordening gegevensbescherming (AVG) staat dat u ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens te beschermen. Maar wat passend is verschilt per organisatie. Als toezichthouder kan de Autoriteit Persoonsgegevens (AP) u geen advies op maat of technische instructies geven. Wel bieden wij een aantal algemene tips.

5 tips om meest voorkomende datalekken te voorkomen

Deze tips zijn gebaseerd op de meest voorkomende datalekmeldingen die wij ontvangen.

1. Stel de BCC in als standaardoptie in uw e-mailprogramma. Hiermee verkleint u de kans op een datalek doordat een medewerker per ongeluk de e-mailadressen van een groepsmail zichtbaar maakt voor iedereen.
2. Maak uw medewerkers bewust. Onder meer van het risico op hacking, phishing en malware. U kunt hiervoor bijvoorbeeld de informatie gebruiken uit de campagne ‘eerst checken dan klikken’ van veiliginternetten.nl.
3. Beveiliging mobiele apparaten. Er zijn diverse maatregelen die u kunt treffen om de schade bij een datalek door verlies van bijvoorbeeld een mobiele telefoon te beperken. Bijvoorbeeld door de harde schijf te versleutelen of gebruik te maken van meerfactorauthenticatie.
4. Houd een interne opschoonactie. Verwijder bijvoorbeeld e-mails of bestanden die niet meer nodig zijn. Hier zitten namelijk vaak persoonsgegevens in. Of schoon adresboeken op. Hiermee voorkomt u dat een datalek onnodig veel persoonsgegevens raakt. Of dat malware zich veel verder verspreidt.
5. Houd uw software actueel. Installeer regelmatig updates en bekijk of het automatisch installeren van updates voor uw organisatie een goede oplossing is. 

Meer informatie en praktisch advies over beveiligingsmaatregelen

• Hoe bepaal ik welke maatregelen ik moet nemen om mijn verwerkingen te beveiligen?
• het dossier 'Beveiliging van persoonsgegevens' op deze website
• veiliginternetten.nl voor antwoord op vragen en hulp bij problemen.
• de 5 basisprincipes ‘veilig digitaal ondernemen’ voor mkb’ers van het Digital Trust Centre
• of check uw branchevereniging.

Een goed beveiligingsplan begint met een risicoanalyse. Zodat u weet waar uw organisatie het meest kwetsbaar is als het gaat om datalekken. Op basis daarvan bepaalt u de maatregelen.

Risicoanalyse

Zorg dat u overzicht heeft op de informatiestromen in uw organisatie. En welke bedrijfs- en privacyrisico’s die met zich meebrengen. Actualiseer dit regelmatig.

Deze vragen helpen u daarbij:

• Hoe zien de informatiestromen in uw organisatie eruit?
• Waar zitten de kritieke bedrijfsprocessen?
• Welke persoonsgegevens verwerkt u allemaal? Op welke plekken staan die opgeslagen? Welke zijn het meest gevoelig?
• Welke systemen zijn er? Is er een functionaliteit of software aanwezig die u niet (meer) nodig heeft?
• Welke medewerkers hebben er allemaal toegang tot welke persoonsgegevens? En hebben ze die toegang ook echt nodig voor hun functie?
• Wat kan er misgaan? En welke risico’s levert dat op? Denk aan inbraak, phishing, brand, kwijtraken van mobiele apparaten etc.

Maatregelen bepalen

De Algemene verordening gegevensbescherming (AVG) vereist dat u ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens te beschermen. Wat passend is hangt af van uw organisatie. En van de kwetsbare onderdelen die u heeft geïnventariseerd. Er is dus niet één plan waarmee iedere organisatie gegarandeerd beveiligd is.

Zeker is wel dat het in de praktijk gaat om een set van verschillende maatregelen die elkaar aanvullen en versterken en die u regelmatig moet controleren en waar nodig moet bijstellen (plan-do-check-act).

Meer informatie en praktisch advies over beveiligingsmaatregelen

Als toezichthouder kan de Autoriteit Persoonsgegevens u geen advies op maat geven. Of technische instructies. Wel vindt u in het dossier ‘Beveiliging van persoonsgegevens’ het antwoord op een aantal veelgestelde vragen. Zie verder:

• Wat kan ik als organisatie doen om de kans op een datalek te verkleinen?
• veiliginternetten.nl voor antwoord op vragen en hulp bij problemen voor iedereen.
• de 5 basisprincipes ‘veilig digitaal ondernemen’ voor mkb’ers van het Digital Trust Centre
• of check uw eigen branchevereniging.

Ja. Iedere organisatie die verwerkingsverantwoordelijke is, moet volgens de privacywet een datalekregister opstellen. Hierin houdt u bij welke datalekken er in uw organisatie zijn geweest.

In het register legt u niet alleen de datalekken vast die u aan de AP heeft gemeld. Ook de minder ernstige datalekken vermeldt u in het register.

Doel datalekregister

Het doel van het datalekregister is dat u als organisatie leert van uw eerdere datalekken en maatregelen neemt om de kans op nieuwe datalekken te verminderen.

Daarnaast kunt u met uw datalekregister aan de Autoriteit Persoonsgegevens (AP) laten zien dat u zich houdt aan de meldplicht datalekken.

Vorm datalekregister

U mag zelf bepalen welke vorm uw register heeft, zolang u maar de wettelijk verplichte informatie erin opneemt.

Om u op weg te helpen heeft de AP een checklist opgesteld met 10 tips voor het professioneel registreren van datalekken.

In uw datalekregister moet u alle inbreuken vermelden die er in uw organisatie zijn geweest. Dat zijn dus zowel de datalekken die u moet melden bij de Autoriteit Persoonsgegevens (AP) als de datalekken die u niet hoeft te melden.

Verder moet u over elke inbreuk de volgende informatie opnemen in uw register:

• de feiten over de inbreuk, zoals de oorzaak, wat er precies is gebeurd en om welke persoonsgegeven het gaat;
• de gevolgen van de inbreuk;
• de corrigerende maatregelen die u heeft genomen.

Het is aan te raden om bij elk inbreuk vast te leggen waarom u heeft besloten om het wel of niet te melden aan de AP en aan de betrokken personen.

Zie ook de checklist met 10 praktische tips voor het professioneel registreren van datalekken.