Het is donderdagmiddag, bijna 17:00 uur. Telefoon. Grote onrust en stress aan de andere kant van de lijn; bij onze klant heeft een datalek plaatsgevonden. Zulke dingen gebeuren natuurlijk niet op het moment dat uitkomt, zoals op maandagochtend als iedereen weer aan de werkweek begint, maar aan het eind van de werkdag, zo lekker net voor het weekend. Zoals bijna altijd was het een samenloop van omstandigheden: het systeem werd geüpdate, er werden koppelingen met de CRM-applicatie gemaakt en er liep een actie met toeleveranciers.
Een snelle analyse samen met de ICT-leverancier leverde op dat er kortdurend toegang was geweest tot een bestand met inlognamen en wachtwoorden van gebruikers. Dat betekende dat de directe schade voor de klant nihil was, maar de potentiële schade voor de gebruikers en daarmee de reputatie- en lange-termijnschade voor de klant waren groot. Snelle actie was nodig: de systemen moesten dicht gezet worden, de toegangsroutine gewijzigd, data-logs worden bekeken en bovenal, de gebruikers moesten zo snel mogelijk geïnformeerd worden!
Plan van aanpak datalek
Met ons plan van aanpak, met veel stappen al voorbereid, was de mail zo gemaakt. Na het overwinnen van wat technische hobbels vanwege de verzwaarde beveiliging, was de mail aan de gebruikers en de klanten snel verstuurd. Gelijktijdig werden de diverse andere stappen van ons protocol doorgelopen; de servicedesk werd geïnformeerd en de account-managers gingen aan de slag om de grootste gebruikers ook te bellen. Hoewel veel klanten geschrokken waren, waren ze gerustgesteld door de snelle en professionele aanpak. Ook dat er zoveel mogelijk werd geholpen om de ongemakken snel weg te nemen, werd positief gewaardeerd.
Ondertussen werden naast de noodzakelijke stappen ook de verplichte taken uitgevoerd. Alle acties werden gelogd, de notulen bewaard en de melding bij De Autoriteit Persoonsgegevens hebben we gedaan. Ook dat was aan de hand van onze templates een uiteindelijk een relatief kleine stap.
Want, dat het bijna weekend was maakt voor het melden van een datalek helaas niks uit: de termijn van 72 uur begint te lopen op het moment dat u het datalek ontdekt. De Autoriteit Persoonsgegevens houdt er geen rekening mee of het weekend is, of dat iemand binnen uw organisatie ziek was of dat uw privacy manager toevallig die dag op cursus was. En dus was er ook hiervoor één ding belangrijk, namelijk, gelijk in actie komen!
Nasleep datalek
De nasleep van een datalek vereist altijd nog veel stappen. We verzorgden de communicatie met de Autoriteit Persoonsgegevens n.a.v. de melding, faciliteerden het aanpassen van protocollen en afspraken, bespraken de consequenties met de betrokken bedrijven en zorgden voor een goede vastlegging in het datalekken-register van de klant. Ook de afwikkeling met de verzekeraar hebben wij op ons genomen, net als de meer ingewikkelde vragen m.b.t. de externe communicatie.
Uiteindelijk liep dit voor de klant met een sisser af. Geen grote claims, slechts beperkt boze klanten en vooralsnog geen schade. En zeer, zeer waarschijnlijk ook geen boete! Kijk, wij zien natuurlijk regelmatig dit soort situaties voorbij komen en een datalek klinkt altijd als bad news. Het is een misverstand dat er in zo’n situatie een snel een hoge boete opgelegd wordt. Laat ons u geruststellen: dat is gelukkig niet het geval!
Privacybeleid
De Autoriteit Persoonsgegevens zal altijd beoordelen of u uw zaken goed geregeld en vastgelegd heeft. Een goed privacy- securitybeleid, toezicht daarop en vooral goed en scherp handelen na een incident is gelukkig veel belangrijker dan een enkele vergissing of incident.
Mocht er dan onverhoopt toch iets mis gaan, neem dan altijd contact op met één van onze collega’s! Dan inventariseren we de risico’s, bekijken de opties en beslissen over de aanpak. Dan weet u snel waar u aan toe bent, óók op donderdagmiddag net voor 17:00 uur of met het weekend voor de deur!
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan