01 feb '24
Datalekken komen veelvuldig voor. Een werknemer verzendt een e-mail met persoonsgegevens van een klant naar een verkeerd e-mailadres, of de database van een onderneming wordt gehackt waardoor persoonsgegevens inzichtelijk worden voor onbevoegden. Zomaar wat voorbeelden die aangeven dat een datalek plaats kan vinden, vaak ongeacht de getroffen voorzorgsmaatregelen. Een ongeluk zit in een klein hoekje en hackers worden steeds beter in hun ‘vak’.
Wanneer een datalek onverhoopt voorkomt in uw organisatie, is het onder meer van belang dat het datalek snel en op de juiste manier wordt afgehandeld. Benieuwd hoe je dit doet? Lees dan vooral verder.
In de inleiding van dit blog gaven wij al twee voorbeelden van een datalek. Er zijn echter nog veel meer varianten van een datalek denkbaar. Dit betreft elk (beveiligings-)incident waarbij een onbevoegde partij een activiteit met betrekking tot bepaalde persoonsgegevens heeft uitgevoerd. Die activiteiten worden in drie categorieën ingedeeld:
Omdat het per categorie verschilt wat de gevolgen van het datalek zijn, is het telkens van belang om na te gaan wat voor soort datalek heeft plaatsgevonden.
Na de ontdekking van een datalek is het in de eerste plaats van belang goed inzicht te verkrijgen in wat er precies is gebeurd en wat de omvang van het datalek is. Wanneer duidelijk is wat er precies is gebeurd, moet worden nagegaan welke maatregelen moeten worden genomen om de schade als gevolg van het datalek zoveel mogelijk te beperken. Dit zal over het algemeen in de eerste plaats het ‘dichten van het lek’ zijn. Welke maatregelen verder getroffen dienen te worden, moet per geval worden beoordeeld. Onder meer moet ook worden bezien of er maatregelen kunnen worden getroffen die een dergelijk voorval in de toekomst kunnen voorkomen.
Vervolgens moet worden beoordeeld welk risico het datalek oplevert. In beginsel moet het datalek worden gemeld bij de Autoriteit Persoonsgegevens (AP). Dit geldt niet wanneer het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de personen van wie persoonsgegevens bij het datalek betrokken zijn. Wanneer de conclusie is dat een datalek moet worden gemeld bij de AP, dient die melding binnen 72 uur na ontdekking van het datalek plaats te vinden. Daarbij moet al veel informatie zijn verzameld en worden verstrekt.
Daarnaast moet worden nagegaan of de personen van wie persoonsgegevens bij het datalek betrokken zijn moeten worden ingelicht. Zij moeten worden ingelicht als sprake is van een hoog risico voor de rechten en vrijheden van personen.
Tot slot dient het datalek (altijd) intern te worden geregistreerd, in een datalekken-/incidentenregister. Daarbij moet o.a. worden genoteerd wat er is voorgevallen, wat de gevolgen zijn van het voorval, welke maatregelen zijn getroffen in het kader van het voorval en verdere voorkoming daarvan en of en hoe de Functionaris Gegevensbescherming (FG) betrokken is geweest bij behandeling van het datalek (indien van toepassing). Ook moet worden genoteerd of het voorval is gemeld bij de AP en de personen van wie persoonsgegevens bij het datalek betrokken zijn en waarom ervoor is gekozen het datalek wel of niet te melden. Bij het invullen van het register is het handig om een expliciet onderscheid te maken tussen corrigerende en preventieve maatregelen. Ook is het handig om per incident duidelijk te registreren welk onderdeel van de organisatie betrokken was bij het incident.
Hoe een datalek moet worden afgehandeld is telkens anders. Dit dient dus per geval te worden beoordeeld. De volgende drie tips zullen echter in elke situatie goed van pas komen:
Wilt u preventieve maatregelen treffen om de gevolgen van toekomstige maatregelen te beperken, of heeft u te maken met een datalek? Neem dan contact op met privacy@ploum.nl. Wij kunnen u bijvoorbeeld helpen met het beoordelen of er sprake is van een datalek dat moet worden gemeld, het melden van een datalek, het opstellen van een Incident Response Plan en het trainen van uw medewerkers.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.