De zes stappen die je moet nemen bij een datalek

Het aantal datalekken naar aanleiding van hacking, malware of phishing-incidenten steeg vorig jaar in Nederland met dertig procent. Vroeg of laat komt iedereen aan de beurt. Daarom moet elk bedrijf een ‘stappenplan datalek’ klaar hebben voordat zo'n incident zich voordoet. Hoe stel je zelf zo’n procedure op? Deze zes stappen moet je nemen.

Volgens de privacywet AVG (Algemene Verordening Gegevensbescherming) zijn bedrijven, maar ook thuiswerkers verplicht om persoonsgegevens goed te beveiligen. Mocht er ondanks alle voorzorgsmaatregelen toch een datalek ontstaan dan moet een organisatie weten hoe te handelen. 

Procedure datalek 

De handelswijze staat beschreven in een datalek-protocol, een procedure die moet worden gevolgd wanneer data in verkeerde handen is beland.

Denk niet dat datalekken alleen door aanvallen van hackers veroorzaakt worden, de meeste datalekken ontstaan doordat gegevens naar de verkeerde ontvanger gaan. Een mail met privacygevoelige informatie kan per ongeluk foutief zijn geadresseerd, een tikfout in het mailadres is immers snel gemaakt. Ook het automatisch aanvullen van een adres leidt vaak tot fouten. Ook komt het voor dat een verkeerd bestand is bijgevoegd. Een andere veelvoorkomende fout is dat een apparaat met persoonsgegevens in verkeerde handen komt. 

Voorbeeld stappenplan datalek

Een protocol, een soort draaiboek in de vorm van een ‘stappenplan datalek', is broodnodig. Want een lek komt altijd op een ongelegen moment en snel handelen is cruciaal. Om vlot actie te kunnen ondernemen moet je eerst weten wat een datalek inhoudt. Van een datalek is sprake wanneer onbevoegden toegang tot persoonsgegevens kunnen krijgen. Juridisch heet dat een inbreuk in verband met persoonsgegevens.  

Het grote gevaar van datalekken is dat criminelen met die informatie phishing-berichten maken die er bedrieglijk echt uit zien. Het lijkt erop dat je individueel wordt benaderd terwijl in werkelijkheid miljoenen fake-berichten worden verstuurd.   

Stap 1: Houd overzicht  

Krijg je signalen over een datalek, dan is het zaak eerst te bepalen of daar ook werkelijk sprake van is. Criminelen bluffen soms met informatie terwijl er niets aan de hand is. Wanneer heb je te maken met een datalek? De oorzaken kunnen velerlei zijn.

  • Een datalek doet zich niet alleen voor bij een geslaagde aanval van hackers of diefstal van laptops.   

  • Ook bij onbedoelde toegang moeten de alarmbellen gaan rinkelen.  

  • Verder komt het voor dat persoonsgegevens in verkeerde handen komen doordat afgedankte computers niet goed zijn gereinigd of iemand op straat usb-sticks met niet-versleutelde persoonsgegevens is verloren.  

  • Een datalek kan ook het gevolg zijn van het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens. Het gaat al mis wanneer privacygevoelige gegevens onopzettelijk in de openbaarheid komen. Een ongeluk zit dus in een klein hoekje. 

  • Dit geldt zeker bij onrechtmatige verwerking van data. De wet stelt dat je persoonsgegevens alleen mag gebruiken voor het doel waarvoor ze zijn verzameld.  

  • Bewaren mag niet langer dan nodig is om dat doel te bereiken. Daarna dienen ze te worden gewist. Een andere eis is dat je moeite moet doen om gegevens actueel te houden.  

Stap 2: Beperk de schade 

Blijk je inderdaad slachtoffer van een datalek te zijn geworden dan moet je meteen overgaan tot een grondige analyse van de situatie.  

  • Doe dit snel om grotere problemen voor te zijn. Probeer achter de ware toedracht te komen. Wat is er gebeurd en welke omvang heeft het lek?  

  • Gaat het alleen om het weglekken van persoonsgegevens of is er ook data vernietigd dan wel gewijzigd?

  • Indien gegevens zijn gelekt, onderzoek dan wie er (mogelijk) toegang hebben (gehad) tot welke persoonlijke data?  

  • Betreft het alleen adressen of ook wachtwoorden?  

  • En is het lek nog actief of heeft de hacker geen toegang meer?  

  •  Allemaal informatie die je nodig hebt voor de vervolgstappen. 

  • Stel ook een crisisteam samen. Wijs een leider aan. En zorg voor bereikbaarheid van het crisisteam.  

Stap 3: Meld het datalek bij de AP  

Bepaal of je verplicht bent het lek bij de Autoriteit Persoonsgegevens (AP) te melden.  

  • Kijk eerst of de gelekte data een risico oplevert voor de rechten en vrijheden van betrokken. Dat is het geval als het lek kan leiden tot identiteitsmisbruik, imagoschade, schade aan materiële zaken of financiële gevolgen. Zulke gevolgen kunnen ernstig zijn. Wil je het naadje van de kous weten ga dan naar het dossier Meldplicht datalekken op de site van de AP. 

  • Melding bij de toezichthouder moet binnen 72 uur na ontdekking, ook als niet alle informatie boven water is. Doe dan later een vervolgmelding.  

  • Bij twijfel is het beter toch een melding te doen. Mochten de gevolgen van de hack achteraf meevallen dan kan je de melding naderhand weer intrekken. 

  • De AP neemt het onterecht niet melden zwaar op. De boetes kunnen hoog uitvallen.


Whitepaper: 'Basisbeveiliging'

Zo beperkt u het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.

Download


Stap 4: Datalek melden aan slachtoffers 

  • Bij een hoog risico moeten ook de mensen worden ingelicht van wie de gegevens zijn gelekt. Ook dit moet zo snel mogelijk gebeuren. Daarbij hoef je niet alle details te geven. Blijft melding aan de slachtoffers achterwege dan moet dat in de melding aan de AP worden uitgelegd. 

  • Schade is een breed begrip. Het gaat niet alleen om financiële schade, ook fysieke schade valt er onder.  

  • Wanneer cruciale medische gegevens zijn gewist bestaat het risico dat iemand niet de benodigde zorg krijgt.  

  • Voorbeeld van immateriële schade is dat iemand het slachtoffer wordt van discriminatie als gegevens over ras, geloof of seksuele geaardheid zijn gelekt.  

  • Onder de categorie ‘hoog risico’ vallen ook datalekken met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Denk aan ‘profiling’ op basis van beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie. 

Stap 5: Registreer het datalek 

  • Documenteer elk incident in het dataregister dat je verplicht moet bijhouden, ook als je geen melding bij de AP doet. Zo kan de toezichthouder later zien of je correct met de meldplicht omgaat.  

Stap 6: Voorkom verder leed 

  • Zorg dat herhaling van datalekken wordt voorkomen.  

  • Als bepaalde systemen zijn uitgeschakeld is het zaak voorzichtig weer op te starten. Let op afwijkend gedrag. 

  • Maak een rapportage om lering te trekken uit het incident. 

  • Evalueer en kijk wat beter kan. Voer zo nodig fundamentele verbeteringen door. 

Gerelateerde artikelen