Stap 1 in het stappenplan na de gewaarwording van het lek, is schade inperken bij getroffenen. Hoe dat moet, hangt af van de stand van zaken, maar in dit stadium is het belangrijk dat als eerste de reden voor het datalek wordt aangepakt. Zorg dus dat u het datalek afsluit, mocht u dat nog niet hebben gedaan. Autoriteit Persoonsgegevens (AP) geeft u deze tips:
- Wis of versleutel apparatuur op afstand
- Haal een onterechte publicatie als een bestand zo gauw als kan offline
- Doe bij verkeerde ontvangers navraag te beamen dat zij gegevens uit verkeerd geadresseerde e-mails vernietigen
- Sluit toegang af tot accounts of diensten van de cloud
- Licht betrokkenen in over maatregelen waarmee zij in actie kunnen komen om de schade te bedwingen
Vervolgens is het belangrijk een risicoanalyse ten uitvoer te brengen. De AVG legt uit dat een datalek mogelijk zorgt voor controleverlies van gegevens van personen, discriminatie, rechtenbeperking, diefstal of fraude van identiteit, financiële afbreuken, ongeoorloofde ongedaanmaking van pseudonimisering, schade aan reputatie, verlies van vertrouwelijkheid door het beroepsgeheim persoonsgegevens die bewaakt zijn of andere economische of maatschappelijke verliezen.
De privacy wetgeving over datalekken geeft aan dat risico’s bij een datalek beoordeeld moeten worden aan de hand van de volgende factoren:
- De soort inbreuk: inbreuk op de integriteit, vertrouwelijkheid of beschikbaarheid
- De aard, gevoeligheid
- Moeite waarmee individuen kunnen worden geïdentificeerd
- Ernst van de gevolgen voor individuen
- Aparte kenmerken van individuen
- Bijzondere kenmerken van de verantwoordelijke
- Het aantal getroffenen
- Eventuele extra, algemene punten
Aan de hand hiervan kan beoordeeld worden wat de risico’s zijn van het datalek.