Ga naar onze specialisaties

In het kort

  • Het stappenplan wat gevolgd moet worden bij een datalek
  • Het belang van een risicoanalyse en het informeren van betrokkenen
  • Het melden van een datalek bij autoriteiten
  • Het bijhouden van een dataregister.

Een datalek is niet in ieder geval grond voor paniek, maar u moet wel gelijk in actie komen om boetes voor datalekken te ondervangen. De AVG, die belangrijke privacy wetgeving bevat, verwacht namelijk nogal wat van u bij een datalak aangeven en in orde brengen van het lek om een boete te voorkomen.

Blue Legal ziet datalekken in de praktijk vaker voorkomen dan veel mensen denken. Men combineert een datalek veelvuldig met gegevens ‘die op straat zijn gekomen’. Andere situaties leveren echter evengoed een datalek op. Het is van belang dat u zich daarvan bewust bent, zodat u weet wanneer in actie te komen en wat te doen bij een datalek overeenstemmend met de wetgeving datalekken, zoals een datalek melden. En op die manier bijvoorbeeld ook boetes voor datalekken te voorkomen. We leggen het uit met ons stappenplan die u bij de hand kunt houden bij datalekken. Ook geven we als advocaat in privacyrecht tips op welke manier u een datalek kunt voorkomen.

De eerste vraag die u helder moet hebben is: wat is een datalek? Door eerst te achterhalen of u een datalek heeft, kunt u aansluitend het stappenplan lezen. Er zijn 3 datalekken te onderscheiden. Nummer 1: een datalek waarbij de vertrouwelijkheid van persoonsgegevens aangetast wordt. Hier komen er gegevens op straat te liggen bij een datalek. Bij dit datalek is toegang tot persoonsgegevens niet geoorloofd of niet gewild. Denk aan cyberaanvallen met gestolen en publiek gemaakte persoonsgegevens.

Bij het volgende datalek is de integriteit geschonden. Gegevens van personen zijn onbevoegd of onopzettelijk bewerkt: bijvoorbeeld medische informatie van een patiënt onbedoeld wijzigen, resulterend in het verkeerd voorschrijven van medicijnen.

Datalek 3: het lek waar persoonsgegevens zonder opzet vernietigd zijn, ook wel ‘inbreuk op de beschikbaarheid’ genoemd. Dit kan voorkomen wanneer een bedrijf updates draait op systemen en een aandeel van het klantenbestand of personeelsbestand verloren gaat.

Help?! Wat te doen bij een datalek?

Nu u weet wat een datalek is, leggen we uit wat te doen bij een lek met ons stappenplan over privacy wetgeving voor datalekken. Zoals beschreven, paniek is niet nodig. Kom wel gelijk in actie en wend boetes voor datalekken af. We leggen uit wat te doen bij een datalek. Ga deze onderdelen na om uw datalek AVG-compliant in orde te maken. Ook is het zo: voorkomen is beter dan genezen. Met onze tips aan het einde leggen we uit hoe u een datalak kunt voorkomen. Als advocaat in privacyrecht hebben we de belangrijke punten op papier gezet.

Stap 1 in het stappenplan na de gewaarwording van het lek, is schade inperken bij getroffenen. Hoe dat moet, hangt af van de stand van zaken, maar in dit stadium is het belangrijk dat als eerste de reden voor het datalek wordt aangepakt. Zorg dus dat u het datalek afsluit, mocht u dat nog niet hebben gedaan. Autoriteit Persoonsgegevens (AP) geeft u deze tips:

  • Wis of versleutel apparatuur op afstand
  • Haal een onterechte publicatie als een bestand zo gauw als kan offline
  • Doe bij verkeerde ontvangers navraag te beamen dat zij gegevens uit verkeerd geadresseerde e-mails vernietigen
  • Sluit toegang af tot accounts of diensten van de cloud
  • Licht betrokkenen in over maatregelen waarmee zij in actie kunnen komen om de schade te bedwingen

Vervolgens is het belangrijk een risicoanalyse ten uitvoer te brengen. De AVG legt uit dat een datalek mogelijk zorgt voor controleverlies van gegevens van personen, discriminatie, rechtenbeperking, diefstal of fraude van identiteit, financiële afbreuken, ongeoorloofde ongedaanmaking van pseudonimisering, schade aan reputatie, verlies van vertrouwelijkheid door het beroepsgeheim persoonsgegevens die bewaakt zijn of andere economische of maatschappelijke verliezen.

De privacy wetgeving over datalekken geeft aan dat risico’s bij een datalek beoordeeld moeten worden aan de hand van de volgende factoren:

  1. De soort inbreuk: inbreuk op de integriteit, vertrouwelijkheid of beschikbaarheid
  2. De aard, gevoeligheid
  3. Moeite waarmee individuen kunnen worden geïdentificeerd
  4. Ernst van de gevolgen voor individuen
  5. Aparte kenmerken van individuen
  6. Bijzondere kenmerken van de verantwoordelijke
  7. Het aantal getroffenen
  8. Eventuele extra, algemene punten

Aan de hand hiervan kan beoordeeld worden wat de risico’s zijn van het datalek.

Omwille van de meldplicht in de wetgeving geldt dat u gewoonlijk het datalek moet aangeven bij autoriteiten. Bij risico’s voor getroffenen moet u een datalek vermelden en zo boetes voorkomen. Wij ervaren als advocaat in privacyrecht dat het regelmatig zo is. U hoeft daarentegen niet te melden indien de informatie versleuteld was en dus niet te begrijpen is voor derden, mits de sleutel vanzelfsprekend ook niet gelekt is.

Wanneer u tot de conclusie komt dat u een datalek moet aangeven, moet de melding volgens privacy wetgeving snel plaatsvinden. Meldingen over een datalek moeten immers zonder vertraging en, indien realiseerbaar, het langste 72 uur sinds de gewaarwording van het datalek, worden gedaan. En opgelet: het weekend telt mee in die 72 uur. Het is daarmee belangrijk om gauw te handelen volgens ons stappenplan voor een datalek om boetes voor datalekken af te weren.

U kunt ook een voorlopige melding verzenden. Heeft u nog niet de complete informatie over het datalek, kunt u aangeven dat u het later bijwerkt. Excuses om geen melding te doen zijn er dus niet, die termijn van 72 uur is erg belangrijk om o.a. boetes voor datalekken te voorkomen.

Een datalek aangeven doet u op de website van de autoriteit. Wilt u ondersteuning? Vraagt u zich af u verplicht bent het datalek aan te geven?  Eén van onze privacy wetgeving specialisten staat klaar, die u kan helpen in te schatten of er risico’s zijn en meldingen voor u kan doen.

Bij een datalek met omvangrijke risico’s voor getroffenen, moet u het datalek aangeven bij betrokkenen door de privacy wetgeving rondom datalekken. De AVG vraagt de volgende dingen te verstrekken bij de betreffende:

  1. Een opheldering over het datalek: de oorzaak van het datalek. Is het schending van de vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens? Zie voor een uitleg van deze soorten inbreuken punt 3 bij ‘Melden bij AP’.
  2. Bij een functionaris gegevensbescherming moeten naam en gegevens voor contact van deze persoon gegeven worden. Wanneer u geen functionaris heeft, moeten medewerkers op een ander punt voor contact aanvullende informatie krijgen.
  3. De gevolgen van het datalek die mogelijk zijn. Denk aan diefstal van identiteit of fraude, discriminatie en/of schade aan de reputatie.
  4. De maatregelen om het datalek op te lossen, zoals maatregelen die eventuele gevolgen die nadelig zijn van het datalek voorkomen.

Geef informatie op een heldere en begrijpelijke wijze. Stuur de betrokkenen dus geen juridisch epistel met allerlei wetsartikelen. De getroffenen moeten snappen wat er gebeurde en waar ze staan.

Een overzicht hiervan mailt u betrokkenen bijvoorbeeld. Bijkomend is ons advies om in het stappenplan datalek te zetten specifiek toelichting te geven aan bijvoorbeeld personeel zich te beschermen tegen mogelijke uitwerkingen van de schending die negatief zijn, zoals het variëren van wachtwoorden.

Een datalek vermelden bij betrokkenen hoeft niet binnen 72 uur plaats te vinden. Dit mag ook later. Vaak is het goed om dit te doen op het moment dat oorzaken en uitwerkingen inzichtelijk zijn. Dan informeert u betrokkenen over het lek.

Het einde van het stappenplan datalek. Alle organisaties die verantwoordelijk zijn, hebben als taak een datalekregister opstellen en bijhouden, zo stelt de AVG. Hierin staan niet afzonderlijk datalekken die u meldde bij de autoriteit, maar alle datalekken, inclusief de minder grote lekken.

Een datalek moet u te allen tijde in het datalekregister zetten. U moet deze punten opnemen in het register datalek:

  • Feiten over de inbreuk: denk aan oorzaak, wat er precies aan de hand was, welke gegevens van personen, de getroffenen.
  • Gevolgen van de schending.
  • Maatregelen die i) het datalek beëindigen en ii) schade beperken.

Daarnaast adviseren wij als advocaat in privacyrecht om in het register te zetten om welke reden de verantwoordelijke besloot het datalek wel of niet aan te geven.

Datalek voorkomen

U kunt met deze adviezen een datalek voorkomen en bijvoorbeeld ook boetes voor datalekken afweren:

  • Houd een privacybeleid bij en houd deze up to date. Een privacybeleid helpt uw organisatie vooruit omdat er één lijn is qua beleid dat gevoerd wordt rondom privacy én omdat uw medewerkers ook meer privacybewust worden. Daarnaast hechten klanten steeds meer waarde aan privacy en helpt een goed beleid u ook nog eens commercieel verder.
  • Regel goede security in de organisatie. Privacy en security zijn twee kanten van dezelfde medaille. Is uw security niet goed geregeld, dan bent u kwetsbaarder. Maar als uw privacy niet goed geregeld is, bent u ook kwetsbaar. Zorg dus dat u deze allebei goed geregeld heeft en u een datalek kunt voorkomen.
  • Richt een datalekprotocol op en zorg dat medewerkers hiermee vertrouwd zijn. Privacy bewustzijn is heel belangrijk. Een aanspreekpunt voor incidenten gelijk aan datalekken is dat ook. Maak het onderwerp bespreekbaar en zorg dat personeel weet wat te doen bij een datalek.

Hier is het stappenplan datalek die u altijd bij de hand kunt houden. We hebben alle belangrijke kennis als advocaat in privacyrecht voor u op een rij gezet.

Stappenplan datalekken downloaden

Bel ons of laat uw gegevens achter:

"*" geeft vereiste velden aan

Hidden
Hidden
Nieuwsbrief

Bekijk onze webinars over Privacy en ICT-Recht

Laatste blogs gerelateerd aan datalekken

AVG | Persoonsgegevens EU

AVG en de regels rondom persoonsgegevens binnen en buiten de EU

Onder de Algemene verordening gegevensbescherming (AVG) gelden er bijzondere regels voor het doorgeven van persoonsgegevens naar het buitenland. Dus binnen en buiten de Europese Unie (EU). Onder de EU vallen de 27 lidstaten. Daarnaast zijn IJsland, Liechtenstein en Noorwegen onderdeel van de Europese Economische Ruimte (EER) en deze hebben de Gegevensbeschermingsregels aanvaard.

Aankomende evenementen over Privacy en ICT-Recht

Alle seminars

Neem vrijblijvend contact met ons op

+31 (0) 76 521 35 36
Direct bellen
office@blue-legal.nl
Direct mailen
Verlengde Poolseweg 40, 4818 CL Breda (NL)
Routebeschrijving openen
Chat
1
Heeft u zakelijke vragen? Neem contact met ons op.