https://ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Privacy/pexels-cottonbro-studio-5474294.jpg

Datalekken in de praktijk: drie tips

01 feb '24

Auteur(s): Lars Boer en Nina Rijsterborgh-Witt

Datalekken komen veelvuldig voor. Een werknemer verzendt een e-mail met persoonsgegevens van een klant naar een verkeerd e-mailadres, of de database van een onderneming wordt gehackt waardoor persoonsgegevens inzichtelijk worden voor onbevoegden. Zomaar wat voorbeelden die aangeven dat een datalek plaats kan vinden, vaak ongeacht de getroffen voorzorgsmaatregelen. Een ongeluk zit in een klein hoekje en hackers worden steeds beter in hun ‘vak’.

Wanneer een datalek onverhoopt voorkomt in uw organisatie, is het onder meer van belang dat het datalek snel en op de juiste manier wordt afgehandeld. Benieuwd hoe je dit doet? Lees dan vooral verder.

Wat is een datalek?

In de inleiding van dit blog gaven wij al twee voorbeelden van een datalek. Er zijn echter nog veel meer varianten van een datalek denkbaar. Dit betreft elk (beveiligings-)incident waarbij een onbevoegde partij een activiteit met betrekking tot bepaalde persoonsgegevens heeft uitgevoerd. Die activiteiten worden in drie categorieën ingedeeld:

  • Een inbreuk op de vertrouwelijkheid: persoonsgegevens zijn ingezien door of inzichtelijk gemaakt voor personen die de persoonsgegevens eigenlijk niet in zouden mogen zien.
  • Een inbreuk op de integriteit: persoonsgegevens zijn gewijzigd door personen die daartoe niet bevoegd zijn, of persoonsgegevens zijn (per ongeluk) door een bevoegde persoon onjuist gewijzigd.
  • Een inbreuk op de beschikbaarheid: toegang tot persoonsgegevens door bevoegde personen wordt verhinderd, bijvoorbeeld doordat de persoonsgegevens (door een onbevoegde of per ongeluk door een bevoegde) zijn gewist, of doordat toegang tot een systeem is geblokkeerd.

Omdat het per categorie verschilt wat de gevolgen van het datalek zijn, is het telkens van belang om na te gaan wat voor soort datalek heeft plaatsgevonden.

Wat moet je doen na de ontdekking van een datalek?

Na de ontdekking van een datalek is het in de eerste plaats van belang goed inzicht te verkrijgen in wat er precies is gebeurd en wat de omvang van het datalek is. Wanneer duidelijk is wat er precies is gebeurd, moet worden nagegaan welke maatregelen moeten worden genomen om de schade als gevolg van het datalek zoveel mogelijk te beperken. Dit zal over het algemeen in de eerste plaats het ‘dichten van het lek’ zijn. Welke maatregelen verder getroffen dienen te worden, moet per geval worden beoordeeld. Onder meer moet ook worden bezien of er maatregelen kunnen worden getroffen die een dergelijk voorval in de toekomst kunnen voorkomen.

Vervolgens moet worden beoordeeld welk risico het datalek oplevert. In beginsel moet het datalek worden gemeld bij de Autoriteit Persoonsgegevens (AP). Dit geldt niet wanneer het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de personen van wie persoonsgegevens bij het datalek betrokken zijn. Wanneer de conclusie is dat een datalek moet worden gemeld bij de AP, dient die melding binnen 72 uur na ontdekking van het datalek plaats te vinden. Daarbij moet al veel informatie zijn verzameld en worden verstrekt.

Daarnaast moet worden nagegaan of de personen van wie persoonsgegevens bij het datalek betrokken zijn moeten worden ingelicht. Zij moeten worden ingelicht als sprake is van een hoog risico voor de rechten en vrijheden van personen.

Tot slot dient het datalek (altijd) intern te worden geregistreerd, in een datalekken-/incidentenregister. Daarbij moet o.a. worden genoteerd wat er is voorgevallen, wat de gevolgen zijn van het voorval, welke maatregelen zijn getroffen in het kader van het voorval en verdere voorkoming daarvan en of en hoe de Functionaris Gegevensbescherming (FG) betrokken is geweest bij behandeling van het datalek (indien van toepassing). Ook moet worden genoteerd of het voorval is gemeld bij de AP en de personen van wie persoonsgegevens bij het datalek betrokken zijn en waarom ervoor is gekozen het datalek wel of niet te melden. Bij het invullen van het register is het handig om een expliciet onderscheid te maken tussen corrigerende en preventieve maatregelen. Ook is het handig om per incident duidelijk te registreren welk onderdeel van de organisatie betrokken was bij het incident.

Drie tips om een datalek correct af te handelen

Hoe een datalek moet worden afgehandeld is telkens anders. Dit dient dus per geval te worden beoordeeld. De volgende drie tips zullen echter in elke situatie goed van pas komen:

  • Tref preventieve maatregelen. Denk hierbij aan het opstellen van een Incident Response Plan zodat binnen de organisatie bekend is wat te doen bij een datalek, wie verantwoordelijk is voor het beoordelen en melden hiervan. Train medewerkers hierop, zodat zij datalekken kunnen herkennen. Maak ook afspraken met verwerkers en andere partijen waarmee u gegevens deelt over hoe wordt gehandeld ingeval van een datalek.
  • Ga na of een melding moet worden gedaan bij de AP en doe deze (indien van toepassing) zo snel mogelijk, maar in ieder geval binnen 72 uur nadat u bekend bent geworden met het datalek. Ook wanneer u nog niet alle informatie met betrekking tot het datalek boven tafel hebt dient u een (voorlopige) melding te doen. Deze kunt u dan later aanvullen.
  • Registreer het datalek intern, zodat te allen tijde duidelijk terug te vinden is wat er precies is gebeurd en hoe hiermee is omgegaan.

Wilt u preventieve maatregelen treffen om de gevolgen van toekomstige maatregelen te beperken, of heeft u te maken met een datalek? Neem dan contact op met privacy@ploum.nl. Wij kunnen u bijvoorbeeld helpen met het beoordelen of er sprake is van een datalek dat moet worden gemeld, het melden van een datalek, het opstellen van een Incident Response Plan en het trainen van uw medewerkers.

Contact

Advocaat

Lars Boer

Expertises:  IT-recht, Privacyrecht, Aanbestedingsrecht, Cybersecurity , Technologie, Media en Telecom, Commerciële contracten, Start-up en Scale-up,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.