Wat kun je het beste doen bij een datalek?
Sinds mei 2018, toen de Europese AVG privacywetgeving de Wet Bescherming Persoonsgegevens verving, zijn de regels voor persoonlijke gegevens veel strenger geworden. Zelfs als je bedrijf alles goed voor elkaar heeft, kan er nog steeds een datalek gebeuren. Maar wanneer heb je een datalek? Welke stappen neem je als marketeer of ondernemer en wat betekent dit voor je organisatie? Bij Online Exposure kun je altijd terecht voor vragen hierover. **Belangrijke tips** over wat te doen bij een datalek vind je hier.
Wanneer is er sprake van een datalek?
Kort gezegd spreek je van een datalek als:
• Persoonsgegevens zijn verloren of vernietigd en niet terug te halen zijn
• Persoonsgegevens mogelijk zijn verwerkt door een onbevoegd persoon
• Beveiligingsmaatregelen niet voldoende blijken te zijn
Een datalek waarbij persoonsgegevens zijn uitgelekt wordt ook wel een privacylek genoemd. Beveiligde informatie is dan opzettelijk of onopzettelijk vrijgegeven of vrijgekomen, zodat dit bij een onvertrouwd publiek terecht kan komen.
Voorbeelden van een datalek
Denk hierbij aan een bedrijfslaptop of bedrijfstelefoon die in de trein is blijven liggen. Of een stapel papieren die je op je dak van je auto had laten liggen en die wegwaaien terwijl je wegrijdt. Ook een zoekgeraakte privételefoon die je ook zakelijk gebruikt, betekent een datalek.
Andere voorbeelden zijn lijsten met klantgegevens die zijn meegenomen of ontvreemd. Of als je een email stuurt naar verkeerde adressen; computers die worden weggegooid waar nog data op staat, zoekgeraakte USB-sticks of cyberaanvallen.
Het kan ook gaan over persoonsgegevens die verloren zijn geraakt waarvan geen back-up bestaat. Maar als het gaat om gegevens die illegaal zijn verkregen, zoals bedrijfsgegevens, marktstrategie, informatie over productieprocessen en dergelijke, dan valt dit niet onder een datalek volgens de AVG.
Hoe kan ik een datalek voorkomen?
• Afgesloten archiefkasten
• Alle computers zijn vergrendeld indien (even) niet in gebruik
• Clean desk policy
• Naleven van de privacywetgeving
De stappen die je moet nemen bij een datalek
Bij een datalek ben je als organisatie verplicht om dit officieel te melden de Autoriteit Persoonsgegevens (AP) en eventueel aan de betrokkenen.
Bij een datalek neem je de volgende stappen:
• Doe een officiële melding bij AP binnen 72 uur na ontdekking via het Meldloket Datalekken
• Schakel de juridische afdeling van de organisatie in of juridische hulp van buitenaf
• Stel een werkgroep samen die de inbreuk monitort en afhandelt
• Zorg ervoor dat data en bewijs veilig worden gesteld, zoals logfiles van de servers
• Leg contacten met betrokken partijen vast en houd een logboek bij van alle acties en gebeurtenissen
• Stel een persverklaring op en stuur een bericht aan de betrokkenen
• Bij twijfel: een melding die achteraf niet nodig was, kan altijd worden ingetrokken
Lees ook: De Europese AVG Privacywet. Mag ik nog mailen?
Wat moet ik in de melding van een datalek omschrijven?
• Naam en contactgegevens van de functionaris of contactpersoon voor gegevensbescherming
• Aard van de inbreuk en het (geschatte) aantal categorieën van de betrokkenen en persoonsgegevensregisters
• Maatregelen om de inbreuk aan te pakken
• Waarschijnlijke gevolgen van de inbreuk
Wat zijn de gevolgen als je een datalek niet meldt?
• Als het datalek later uitkomt, levert dit een (extra zware) boete op
• Op het moment dat het lek alsnog ‘uitlekt’ zijn de publieke aandacht en (reputatie)schade mogelijk nog groter
• Werknemers van wie gegevens gelekt zijn, kunnen een klacht indienen bij de Autoriteit Persoonsgegevens
• Betrokkenen zijn niet geïnformeerd en kunnen geen maatregelen nemen, zoals het wijzigen van wachtwoorden. Bij een claim of rechtzaak, ontstaan hoge kosten voor de organisatie
Lees ook: Ben ik gehackt? Zo check je het en voorkom je het!
Conclusie
Het naleven van de privacywet wordt gecontroleerd door de Autoriteit Persoonsgegevens. Dit is tegelijkertijd ook het meldpunt voor een datalek. Naast toezicht hierop heeft de AP ook een boetebevoegdheid. Zorg altijd dat je de regels van de wetgeving naleeft. Want een boete hiervoor kan oplopen tot € 20.000.000,- of 4% van de jaaromzet. Dat zijn flinke bedragen dus.
Online Exposure geeft advies over AVG privacy
Weet je niet zeker of de website van jouw onderneming voldoet aan alle AVG privacyregels? Laat deze dan checken. Online Exposure is op de hoogte van alle ins en outs met betrekking tot de nieuwe AVG privacywetgeving en kan hierin adviseren. Bel of mail ons voor een afspraak. Wij helpen je graag verder.