Datalek? Dit moet u doen

Een datalek kan in iedere organisatie gebeuren. Door snel te handelen, beperkt u als organisatie de gevolgen van het datalek voor de privacy van bijvoorbeeld uw klanten, patiënten of werknemers. Ook kunt u imagoschade voorkomen of beperken door snel in actie te komen bij een datalek. Verder moet u het datalek mogelijk melden aan de Autoriteit Persoonsgegevens (AP) en soms ook aan de slachtoffers.

Op deze pagina

Video 'Een datalek melden: stap voor stap'

Stappenplan datalek

Bij een datalek in uw organisatie neemt u de volgende stappen:

  1. Zorg voor overzicht op de situatie.
  2. Neem onmiddellijk maatregelen om het datalek te stoppen en de schade van het datalek te beperken. Schat daarbij ook de risico's in.
  3. Bepaal of u het datalek wel of niet moet melden aan de AP. Zo ja, doe dit dan onmiddellijk.
  4. Bepaal of u de slachtoffers wel of niet moet informeren over het datalek. Zo ja, doe dit dan zo snel mogelijk.
  5. Registreer het datalek in uw interne datalekregister.

Hierna leest u een toelichting op deze stappen. 

Stap 1: Overzicht krijgen bij datalek

De eerste stap bij een datalek is zorgen voor overzicht op de situatie, zodat u de juiste vervolgstappen kunt nemen. Daarvoor moet u allereerst weten om wat voor soort datalek het gaat.

Weet u om wat voor soort datalek het gaat, dan helpen de volgende vragen u om verder overzicht te krijgen op de situatie:

  • Wat is de oorzaak van het datalek?
  • Wanneer is het datalek ontstaan? En is het datalek nog steeds gaande?
  • Hoe lang na het ontstaan van het datalek is het ontdekt? En hoe is het ontdekt?
  • Wat voor soort persoonsgegevens zijn gelekt? Bijvoorbeeld naam, adres, e-mailadres, creditcardgegevens en/of bijzondere persoonsgegevens.
  • Hoeveel persoonsgegevens zijn er (bij benadering) gelekt? Om hoeveel personen gaat het?
  • Om wat voor groepen mensen gaat het? Bijvoorbeeld klanten, werknemers, scholieren, patiënten, inwoners etc. Gaat het om kwetsbare groepen? Bijvoorbeeld kinderen, ouderen of mensen met een beperking.
  • Hoeveel onbevoegden hadden of hebben bij benadering (mogelijk) toegang tot de gelekte persoonsgegevens?
  • Heeft u zicht op wie die onbevoegden zijn? En is het waarschijnlijk dat de onbevoegden kwade bedoelingen hebben met de gegevens? Of gaat het om een bekende, betrouwbare ontvanger?
  • Heeft uw organisatie vooraf maatregelen getroffen waardoor de gelekte persoonsgegevens (deels) ontoegankelijk zijn voor onbevoegden? Bijvoorbeeld omdat de gegevens versleuteld zijn?

Stap 2: Beperken schadelijke gevolgen datalek

Hoe u de gevolgen van een datalek beperkt, hangt volledig af van de situatie. Ten eerste moet u het datalek onmiddellijk zien te stoppen als het nog bestaat. Daarnaast moet u maatregelen nemen om de negatieve gevolgen te beperken.

Voorbeelden van maatregelen om schade bij een datalek te beperken zijn:

  • Een laptop, tablet of smartphone op afstand wissen of versleutelen.
  • Een gepubliceerd bestand offline halen.
  • Een verkeerde ontvanger vragen om een bevestiging dat de gegevens uit een brief of e-mail zijn vernietigd. Hoewel u op basis van zo’n bevestiging niet 100% zeker weet dat de gegevens gewist zijn, kunt u het wel meenemen in uw risico-inschatting.
  • De toegang tot een medewerkersaccount of clouddienst op afstand blokkeren.
  • Wanneer u verplicht bent om de slachtoffers te informeren, aangeven wat zij zelf kunnen doen om de schade te beperken.

Diepgaand onderzoek bij complexe datalekken

Soms is er sprake van een complex datalek. Dan is het vaak nodig om een diepgaand digitaal forensisch onderzoek uit te voeren om de ernst en omvang van het lek vast te stellen. En vervolgens te bepalen welke maatregelen u moet nemen om de gevolgen van het datalek te beperken en om nieuwe, soortgelijke datalekken te voorkomen.

Is in uw organisatie sprake van een complex datalek? Bijvoorbeeld een datalek door ransomware? En heeft u geen idee wat u moet doen? Schakel dan een expert in. Bijvoorbeeld een digitaal forensisch expert.

Stap 3: Melden datalek en informeren slachtoffers

U kunt verplicht zijn om het datalek binnen 72 uur te melden bij de AP. Ook kunt u verplicht zijn om de slachtoffers te informeren over het datalek. U beoordeelt zelf of dit het geval is. Hoe u dit doet, leest u bij Datalek: wel of niet melden.

Stap 4: Registreren datalek in datalekregister

Volgens de AVG bent u verplicht een datalekregister op te stellen en bij te houden. Hierin houdt u bij welke datalekken er in uw organisatie zijn geweest. In het register moet u alle datalekken vastleggen die zich binnen uw organisatie hebben afgespeeld. Ook de datalekken die u niet aan de AP heeft gemeld.

Het doel van het datalekregister is dat u als organisatie:

  • leert van eerdere datalekken en bewust bent van datalekken die in het verleden hebben plaatsgevonden;
  • effectieve maatregelen neemt om de kans op nieuwe, soortgelijke datalekken te verminderen;
  • met uw datalekregister aan de AP kunt laten zien dat u zich houdt aan de meldplicht datalekken.

Vorm en inhoud datalekregister

U mag zelf bepalen welke vorm uw register heeft, zolang u maar de wettelijk verplichte informatie erin opneemt. Over elk datalek moet u in ieder geval de volgende informatie vermelden:

  • de feiten over het datalek, zoals de oorzaak, wat er precies is gebeurd en om welke persoonsgegeven het gaat;
  • de gevolgen van het datalek;
  • de corrigerende maatregelen die u heeft genomen.

Om u op weg te helpen, geeft de AP hierna tips voor hoe u uw datalekregister het beste kunt inrichten.

10 tips voor professionele datalekregistratie

  1. Omschrijf incidenten, de gevolgen ervan en de corrigerende maatregelen die u heeft genomen duidelijk en volledig. 
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de 'plan-do-check-act'-cyclus.
  3.  Voorkom versnippering van registraties: maak 1 overzichtelijke registratie die elk onderdeel van uw organisatie even uitgebreid invult. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers, zodat zij het overzicht kunnen checken voordat zij zelf iets registreren.
  4. Heeft uw organisatie een functionaris gegevensbescherming (FG)? Neem dan per incident op of de FG betrokken is en zo ja, in welke mate. 
  5. Neem per incident op of het datalek is gemeld bij de AP en aan de slachtoffers. En motiveer waarom dat wel of niet is gebeurd.
  6. Wees transparant naar de slachtoffers als er een datalek is geweest. Communiceer hier duidelijk en tijdig over. Bewaar het bewijs van die communicatie en neem dit op in de registratie.
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een datalek. Bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of subverwerkers. Dit is handig als u nieuwe verwerkersovereenkomsten sluit met deze verwerkers.
  9. Overweeg om de datalekken in te delen naar aard, gevolgen, slachtoffers en mogelijke maatregelen.
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een 'plan-do-check-act'-cyclus. Zo kunt u leren van fouten. De FG of privacycontactpersoon van uw organisatie kan bij deze besprekingen een actieve rol vervullen.