Een datalek bij uw bedrijf: ons stappenplan

Stap 1 in het stappenplan na de gewaarwording van het lek, is schade inperken bij getroffenen. Hoe dat moet, hangt af van de stand van zaken, maar in dit stadium is het belangrijk dat als eerste de reden voor het datalek wordt aangepakt. Zorg dus dat u het datalek afsluit, mocht u dat nog niet hebben gedaan. Autoriteit Persoonsgegevens (AP) geeft u deze tips:

• Wis of versleutel apparatuur op afstand
• Haal een onterechte publicatie als een bestand zo gauw als kan offline
• Doe bij verkeerde ontvangers navraag te beamen dat zij gegevens uit verkeerd geadresseerde e-mails vernietigen
• Sluit toegang af tot accounts of diensten van de cloud
• Licht betrokkenen in over maatregelen waarmee zij in actie kunnen komen om de schade te bedwingen

Vervolgens is het belangrijk een risicoanalyse ten uitvoer te brengen. De AVG legt uit dat een datalek mogelijk zorgt voor controleverlies van gegevens van personen, discriminatie, rechtenbeperking, diefstal of fraude van identiteit, financiële afbreuken, ongeoorloofde ongedaanmaking van pseudonimisering, schade aan reputatie, verlies van vertrouwelijkheid door het beroepsgeheim persoonsgegevens die bewaakt zijn of andere economische of maatschappelijke verliezen.

De privacy wetgeving over datalekken geeft aan dat risico’s bij een datalek beoordeeld moeten worden aan de hand van de volgende factoren:

1. De soort inbreuk: inbreuk op de integriteit, vertrouwelijkheid of beschikbaarheid
2. De aard, gevoeligheid
3. Moeite waarmee individuen kunnen worden geïdentificeerd
4. Ernst van de gevolgen voor individuen
5. Aparte kenmerken van individuen
6. Bijzondere kenmerken van de verantwoordelijke
7. Het aantal getroffenen
8. Eventuele extra, algemene punten

Aan de hand hiervan kan beoordeeld worden wat de risico’s zijn van het datalek.

Omwille van de meldplicht datalekken in de wetgeving geldt dat u gewoonlijk het datalek moet melden bij autoriteiten. Bij risico’s voor getroffenen moet u een datalek melden en zo boetes voorkomen. Wij ervaren als advocaat in privacyrecht dat het regelmatig zo is. U hoeft daarentegen niet te melden indien de informatie versleuteld was en dus niet te begrijpen is voor derden, mits de sleutel vanzelfsprekend ook niet gelekt is.

Wanneer u tot de conclusie komt dat u een datalek moet melden, moet de melding volgens privacy wetgeving snel plaatsvinden. Meldingen over een datalek moeten immers zonder vertraging en, indien realiseerbaar, het langste 72 uur sinds de gewaarwording van het datalek, worden gedaan. En opgelet: het weekend telt mee in die 72 uur. Het is daarmee belangrijk om gauw te handelen volgens ons stappenplan voor een datalek om boetes voor datalekken af te weren.

U kunt ook een voorlopige melding verzenden. Heeft u nog niet de complete informatie over het datalek, kunt u aangeven dat u het later bijwerkt. Excuses om geen melding te doen zijn er dus niet, die termijn van 72 uur is erg belangrijk om o.a. boetes voor datalekken te voorkomen.

Een datalek melden doet u op de website van de autoriteit. Wilt u ondersteuning? Vraagt u zich af u verplicht bent het datalek te melden?  Eén van onze privacy wetgeving specialisten staat klaar, die u kan helpen in te schatten of er risico’s zijn en meldingen voor u kan doen.

Bij een datalek met omvangrijke risico’s voor getroffenen, moet u het datalek melden aan betrokkenen door de privacy wetgeving rondom datalekken. De AVG vraagt de volgende dingen te verstrekken bij de betreffende:

1. Een opheldering over het datalek: de oorzaak van het datalek. Is het schending van de vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens? Zie voor een uitleg van deze soorten inbreuken punt 3 bij ‘Melden bij AP’.
2. Bij een functionaris gegevensbescherming moeten naam en gegevens voor contact van deze persoon gegeven worden. Wanneer u geen functionaris heeft, moeten medewerkers op een ander punt voor contact aanvullende informatie krijgen.
3. De gevolgen van het datalek die mogelijk zijn. Denk aan diefstal van identiteit of fraude, discriminatie en/of schade aan de reputatie.
4. De maatregelen om het datalek op te lossen, zoals maatregelen die eventuele gevolgen die nadelig zijn van het datalek voorkomen.

Geef informatie op een heldere en begrijpelijke wijze. Stuur de betrokkenen dus geen juridisch epistel met allerlei wetsartikelen. De getroffenen moeten snappen wat er gebeurde en waar ze staan.

Een overzicht hiervan mailt u betrokkenen bijvoorbeeld. Bijkomend is ons advies om in het stappenplan datalek te zetten specifiek toelichting te geven aan bijvoorbeeld personeel zich te beschermen tegen mogelijke uitwerkingen van de schending die negatief zijn, zoals het variëren van wachtwoorden.

Een datalek melden aan betrokkenen hoeft niet binnen 72 uur plaats te vinden. Dit mag ook later. Vaak is het goed om dit te doen op het moment dat oorzaken en uitwerkingen inzichtelijk zijn. Dan informeert u betrokkenen over het lek.

Het einde van het stappenplan datalek. Alle organisaties die verantwoordelijk zijn, hebben als taak een datalekregister opstellen en bijhouden, zo stelt de AVG. Hierin staan niet afzonderlijk datalekken die u meldde bij de autoriteit, maar alle datalekken, inclusief de minder grote lekken.

Een datalek moet u te allen tijde in het datalekregister zetten. U moet deze punten opnemen in het register datalek:

• Feiten over de inbreuk: denk aan oorzaak, wat er precies aan de hand was, welke gegevens van personen, de getroffenen.
• Gevolgen van de schending.
• Maatregelen die i) het datalek beëindigen en ii) schade beperken.

Daarnaast adviseren wij als advocaat in privacyrecht om in het register te zetten om welke reden de verantwoordelijke besloot het datalek wel of niet te melden.