Een datalek kan iedere organisatie overkomen. Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. En dat zo’n datalek vaak voorkomt blijkt wel uit de cijfers. In 2018 ontving de Autoriteit Persoonsgegevens maar liefst 20.881 meldingen van datalekken. Een recordaantal, want het jaar ervoor waren dat er ‘slechts’ 10.009. De meldplicht datalekken geldt in Nederland trouwens al sinds 2016.
Autoriteit Persoonsgegevens geeft tips aan mkb’ers
Om mkb’ers praktische hulp te geven bij de naleving van de privacywet is de Autoriteit Persoonsgegevens (AP) gestart met de campagne ‘Wat betekent de privacywet voor jouw bedrijf?’. Als onderdeel van deze campagne gaat de toezichthouder ook in op datalekken. Op de campagnepagina geeft de toezichthouder tips wat te doen bij een datalek. Hieronder een overzicht van de belangrijkste tips van de Autoriteit Persoonsgegevens.
Stap 1: Overzicht
Maak zo snel mogelijk een overzicht van de situatie. Ga na wat er precies is gebeurd, welke persoonsgegevens er zijn gelekt, wat de omvang van het datalek is en welke personen er mogelijk toegang hebben gehad tot deze data. Mede op basis hiervan kan je bepalen wat de vervolgacties kunnen zijn.
Stap 2: Neem maatregelen
Nu heb je het overzicht. Ga vervolgens direct aan de slag met maatregelen om ergere schade te voorkomen. Denk bijvoorbeeld aan het op afstand wissen van een laptop, het offline halen van een bestand of het vragen aan de verkeerde ontvanger of hij de brief of e-mail wil verwijderen.
Stap 3: Melden of niet melden bij Autoriteit Persoonsgegevens
Nu ga je bepalen of je het datalek wel of niet moet melden. Dat hangt af van de situatie. Een belangrijke indicator is wat de gevolgen zijn van het lek en hoe ernstig het risico is voor de betrokkenen. Door gelekte gegevens kunnen mensen mogelijk worden uitgesloten of gediscrimineerd of kunnen hun gegevens worden gebruikt voor identiteitsfraude. Een aantal voorbeeldsituaties vind je op de website van de Autoriteit Persoonsgegevens. Kijk hiernaar en bepaal of je het datalek moet melden.
Stap 4: Melden aan betrokkenen
Als je hebt bepaald dat je het datalek aan de Autoriteit Persoonsgegevens moet melden moet je het misschien ook aan de betrokkenen melden. In sommige gevallen ben je dat verplicht. Het is belangrijk om aan de betrokkenen te melden zodat ze zelf actie kunnen ondernemen. Bijvoorbeeld door het wijzigen van een wachtwoord.
Stap 5: Registreer in datalekregister
Registreer elk datalek in een datalekregister. Neem hier in op om welk datalek het gaat. Wat de oorzaak, gevolgen en maatregelen zijn geweest die je hebt getroffen. Let op: alle datalekken moeten worden opgenomen in een register, registreer dus ook datalekken die niet gemeld hoeven te worden bij de Autoriteit Persoonsgegevens.
Bron: Autoriteit Persoonsgegevens
Hulp bij datalekken
Als er een datalek plaatsvindt binnen jouw bedrijf is het belangrijk dat je snel handelt. Om de schade voor de betrokkenen zo veel mogelijk te beperken, maar ook die voor je eigen bedrijf. Als klant van Privacy Zeker kan je rekenen op ondersteuning bij datalekken.
Als onderdeel van het Privacy Zeker abonnement helpen de privacy-experts van Privacy Zeker in geval van een datalek met juridisch advies en de eventuele melding bij de Autoriteit Persoonsgegevens. Daarnaast krijgen ondernemers toegang tot hun eigen datalekregister en de privacy awareness e-learning. Bewustzijn is namelijk de eerste stap om datalekken te voorkomen. Klik op de button voor meer informatie.