Verwerkt uw bedrijf of organisatie persoonsgegevens? En bent u in dat geval op de hoogte van wat u moet doen wanneer er sprake is van een datalek? Niet ieder datalek is hetzelfde. Sommige datalekken kunnen verholpen worden en de gevolgen daarvan leveren weinig tot geen risico op voor de betrokkene(n). Andere datalekken daarentegen kunnen ernstiger zijn en negatieve gevolgen hebben voor de betrokkene(n).
Hoe dan ook, voor elk datalek dienen bepaalde maatregelen te worden genomen om aan de vereisten uit de Algemene verordening gegevensbescherming (AVG) te voldoen en het risico op schade voor de betrokkene(n) te beperken. In deze blog wordt uitgelegd wat een datalek is op grond van de AVG en welke maatregelen in geval van een datalek genomen moeten worden.
Wat is een datalek?
In de AVG wordt een inbreuk gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen, of anderszins verwerkte persoonsgegevens”.
Op grond van deze ruime definitie is elke situatie waarin persoonsgegevens onbedoeld of ongeoorloofd openbaar of toegankelijk worden gemaakt een datalek in de zin van de AVG. Standaardvoorbeelden zijn het onbedoeld versturen van een e-mail met persoonsgegevens of het verliezen van een laptop of telefoon met daarop persoonsgegevens die toegankelijk zijn. Voorbeelden van ernstigere inbreuken zijn cyberincidenten of het verlies van bijzondere persoonsgegevens.
De mate van ernst van een datalek hangt af van de impact en het risico van schade voor de betrokkene(n). Mogelijke risico’s zijn identiteitsdiefstal, reputatieschade of financieel verlies. De gevolgen en risico’s van een datalek zullen beperkter zijn als een e-mail met niet-gevoelige persoonsgegevens onbedoeld naar de verkeerde collega binnen een organisatie wordt gestuurd. Hetzelfde geldt voor de situatie van het verlies van een laptop met daarop persoonsgegevens die beveiligd zijn middels een wachtwoord.
De gevolgen en risico’s van een datalek zullen ernstiger zijn wanneer de persoonsgegevens gevoelige gegevens bevatten, zoals financiële informatie of gezondheidsgegevens. Kennis over de mate van ernst van een datalek is van belang om precies te kunnen bepalen wat u moet doen bij een datalek.
Wat te doen bij een datalek?
Zodra u zich bewust bent van een datalek – of het vermoeden van een datalek – is het zaak om te bepalen welke maatregelen genomen moeten worden. Zo dient u, afhankelijk van de ernst van een datalek, de betrokkene(n) en/of de bevoegde autoriteit op de hoogte te stellen.
Op grond van de AVG dient u de bevoegde autoriteit uiterlijk 72 uur na het bekend worden van een datalek op de hoogte te stellen. Voor het informeren van betrokkene(n) geldt dat hij/zij onder andere geïnformeerd moet worden over de aard van het datalek en de maatregelen die naar aanleiding daarvan zijn genomen.
Het is dan ook raadzaam om binnen een onderneming of organisatie een internbeleid te hanteren waarin is opgenomen hoe gehandeld moet worden in geval van een datalek.
Stap 1 – Overzicht krijgen op de situatie
De eerste stap bij een datalek is het starten van de klok. Sommige inbreuken op gegevens dienen namelijk binnen 72 uur aan de bevoegde autoriteit gemeld te worden. In geval van een (vermoedelijk) datalek zal niet altijd meteen duidelijk zijn of de meldplicht van toepassing is. Het starten van de klok is daarom altijd het eerste wat moet gebeuren wanneer men op de hoogte wordt gesteld van een datalek.
Vervolgens dient een organisatie zoveel mogelijk informatie over het datalek verzamelen. Zoals bijvoorbeeld informatie over de manier waarop het datalek heeft plaatsgevonden, hoeveel personen erbij betrokken zijn en om wat voor soort persoonsgegevens het gaat. Dit is noodzakelijk om te kunnen bepalen welke maatregelen moeten worden ondernomen.
In sommige situaties zal direct actie ondernomen kunnen worden. Hierbij kan gedacht worden aan de volgende acties/maatregelen:
- Onbedoelde ontvangers vragen om gegevens te wissen
- Verloren gegevens kunnen worden geback-upt
- Persoonsgegevens kunnen op afstand worden gewist op verloren apparaten
- Wijzigen van wachtwoorden op afstand
Tip: neem alle maatregelen die direct genomen kunnen worden en leg dit vast voor documentatiedoeleinden.
Stap 2 – Beoordeel het risico op schade
Om de ernst van het datalek en de noodzakelijke maatregelen te bepalen, dient een organisatie een risicobeoordeling uitvoeren. Hiermee kan het risico op (potentiële) schade bepaald worden voor de personen wiens persoonsgegevens door de inbreuk zijn getroffen. Bij het maken van een risicobeoordeling dient rekening gehouden te worden met de volgende factoren:
- Om wat voor soort persoonsgegevens gaat het?
- Hoeveel personen zijn er door de inbreuk getroffen?
- Wie heeft toegang tot de persoonsgegevens?
- Hoe kan de inbreuk (mogelijk) gevolgen hebben voor de getroffen personen?
- Zijn er corrigerende of beperkende maatregelen die genomen kunnen worden?
De belangrijkste vraag voor de risicobeoordeling is of het datalek negatieve gevolgen met zich meebrengt voor of zelfs schade kan berokkenen aan de getroffen personen. Hierbij is ook relevant of de betrokkene kwetsbaar is, bijvoorbeeld als het gaat om een kind, of dat de betrokkene het risico loopt op financieel verlies of reputatieschade.
Stap 3 – Vaststellen en uitvoeren van de vereiste maatregelen
Als wordt vastgesteld dat een datalek geen risico of een zeer laag risico heeft, kan het voldoende zijn om de nodige corrigerende of beperkende maatregelen te nemen, interne protocollen bij te werken en andere preventieve maatregelen te treffen om soortgelijke of ernstigere datalekken in de toekomst te voorkomen.
Als wordt vastgesteld dat het datalek wel een risico met zich meebrengt voor de getroffen personen, dan moet het datalek verplicht binnen 72 uur te worden gemeld aan de bevoegde autoriteit.
Bovendien dienen de getroffen personen geïnformeerd te worden. Het is belangrijk aan deze verplichting te voldoen zodat de getroffen personen maatregelen kunnen nemen om zichzelf te beschermen tegen een inbreuk op hun persoonsgegevens. Er gelden specifieke eisen voor de informatie die aan de betrokken personen verstrekt dient te worden.
Afhankelijk van de specifieke omstandigheden van het datalek kunnen ook andere maatregelen vereist zijn. Het is dus van belang om een volledig overzicht van de situatie te krijgen om te bepalen welke maatregelen kunnen en moeten worden ondernomen.
Tot slot
In het geval van een datalek zijn de beste maatregelen preventieve maatregelen. Het is daarom aan te bevelen om als organisatie de nodige tijd en middelen te investeren in maatregelen zodat een datalek voorkomen kan worden. Preventieve maatregelen kunnen bijvoorbeeld betrekking hebben op de opleiding van personeel en protocollen. Dit stelt de organisatie niet alleen in staat om tijdig en doeltreffend op een datalek te reageren, maar kan ook de kosten en middelen voor het omgaan met een datalek beperken en de aan een datalek verbonden handhavingsrisico’s verminderen.
Hoewel de nadruk van een intern datalekprotocol ligt op het beperken van mogelijke schade of risico’s voor de betrokken personen wordt hiermee ook de organisatie beschermt tegen de negatieve gevolgen van een datalek. Naast reputatieschade loopt een organisatie bij een datalek het risico een boete opgelegd te krijgen van bevoegde autoriteiten. Deze boetes kunnen hoger oplopen als het datalek redelijkerwijs voorkomen had kunnen worden.
Daarbij komen nog de aanzienlijke kosten en middelen die nodig zijn voor het beheer van een datalek, de kosten voor het herstellen van aangetaste systemen, commerciële kosten en mogelijke schadeclaims van getroffen personen. Als uw bedrijf of organisatie persoonsgegevens verwerkt, is het aan te bevelen dat preventie van datalekken een essentieel onderdeel is van het privacy beleid van uw organisatie.
Meer informatie
Heeft u vragen of wilt u meer informatie, neem dan gerust contact met ons op: