Wat moet u doen bij een datalek? | ABAB Legal

Via de media wordt u geconfronteerd met allerlei soorten datalekken. Elke organisatie krijgt er vroeg of laat mee te maken. Jaarlijks stijgt het aantal datalekken dan ook sterk. Wat is nu precies een datalek en welk stappenplan moet u doorlopen?

 Wat is een datalek?

Om te kunnen spreken van een datalek moet deze voldoen aan de volgende kenmerken:

  • Er moet sprake zijn van een inbreuk op de beveiliging. Dit houdt in dat er zich een omstandigheid heeft voorgedaan die niet in lijn is met de binnen de organisatie genomen beveiligingsmaatregelen en/of het beleid.
  • De inbreuk op de beveiliging moet ‘per ongeluk of op onrechtmatige wijze’ tot stand zijn gekomen.
  • Er moet bekeken worden of het beveiligingsincident een risico of zelfs een hoog risico oplevert voor de betrokkene(n).

Stappenplan bij een datalek

Zorg voor overzicht

Analyseer direct de situatie. Zorg dat u weet wat er heeft plaatsgevonden en breng de mogelijke omvang van het (potentiële) datalek in kaart. Gaat het om een inbreuk door gelekte vernietigde of gewijzigde persoonsgegevens? Als persoonsgegevens zijn gelekt onderzoek dan welke onbevoegden er (mogelijk) toegang hebben (gehad) tot welke persoonsgegevens.

Onderneem direct actie

Als blijkt dat zich binnen uw organisatie een datalek heeft voorgedaan, dan is het zaak om direct actie te ondernemen, daar u mogelijk binnen afzienbare tijd aan de wettelijke meldplicht datalekken moet voldoen. De wettelijke meldplicht datalekken bepaalt dat organisaties (zowel bedrijven als overheden) melding moeten maken bij de AP als vaststaat dat sprake is van een zogenaamd “ernstig” datalek. Om een correcte vaststelling te kunnen maken is het belangrijk dat personeel en bestuur zo spoedig als mogelijk op de hoogte worden gebracht en dat zij daar waar nodig worden ingezet om het datalekkenprotocol te doorlopen. Vastlegging van enerzijds de feiten en omstandigheden en anderzijds de genomen stappen zijn hierbij cruciaal. Zodoende kunt u daar waar nodig de AP en eventueel de betrokkenen een duidelijk beeld schetsen van het datalek en de meest actuele situatie.

Melden AP

Zoals hiervoor aangegeven is het zaak dat ingeval van vaststelling van een datalek er direct en uiterlijk binnen 72 uur melding wordt gemaakt bij de AP. Mocht het in voorkomend geval niet mogelijk zijn de melding binnen 72 uur te maken? Dan bent u verplicht om de AP uitleg hierover te geven. Het is belangrijk om te benoemen dat de meldplicht niet zondermeer van toepassing is. Mocht blijken dat er geen sprake is van een “ernstig” datalek, waarbij het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, dan hoeft u het niet te melden bij de AP.

Melden betrokkenen

Naast melding van het datalek aan de AP kan het ook verplicht zijn melding te maken aan de betrokkenen. De wet bepaalt dat betrokkenen ingelicht moeten worden als het waarschijnlijk is dat het datalek hoge risico’s met zich meebrengt voor hunner rechten en vrijheden. Het maken van de melding stelt de betrokkenen in staat om daar waar nodig voorzorgmaatregelen te treffen. Zorg ervoor dat u met de melding duidelijk uiteenzet wat de aard van het datalek betreft. Anderzijds moet u de melding voorzien van aanbevelingen over het beperken van de mogelijke negatieve gevolgen van het datalek. Mocht het zo zijn dat u op het moment van melding (nog) niet alle informatie gelijktijdig aan de betrokkenen kunt verstrekken? Dan kunt u er ook voor kiezen om de informatie gefaseerd te verstrekken. Zodra meer informatie bekend is voorziet u de betrokkenen van updates.

Melden aan betrokkenen is niet altijd nodig. Zo is melden niet noodzakelijk als u kunt aantonen dat als gevolg van de door u genomen preventieve maatregelen de persoonsgegevens onbegrijpelijk zijn voor onbevoegden. Denk hierbij bijvoorbeeld aan versleuteling van de persoonsgegevens. Ook is melden niet nodig als u kunt aantonen dat u direct maatregelen heeft genomen welke de hoge risico’s voor de rechten en vrijheden van betrokkenen heeft weggenomen.

Beperk de schade

Bepaal of er maatregelen zijn welke leiden tot het direct beëindigen van een datalek om zodoende de schade zoveel als mogelijk te beperken. Zijn dergelijke maatregelen voorhanden? Acteer dan onmiddellijk! Maak ook direct een inschatting van het mogelijke risico dat het datalek oplevert. Is er sprake van een complex datalek? Dan is het bovendien verstandig een diepgaand digitaal forensisch onderzoek uit te voeren om de ernst en omvang vast te stellen en te bepalen welke aanvullende maatregelen u kunt en moet nemen.

Registreer het datalek in het datalekregister

Als organisatie heeft u de plicht een logboek bij te houden van alle datalekken. In dit datalekkenregister moet u de informatie over het datalek zelf, de gevolgen daarvan en de genomen corrigerende maatregelen opnemen. Het doel van het datalekregister is dat de organisatie leert van eerdere datalekken en maatregelen neemt om de kans op toekomstige datalekken te verminderen. Let er dus op dat u elk datalek opneemt in uw datalekregister, zodat de administratie op dit punt AVG-conform is. Twijfelt u of er sprake is van een datalek? Meld deze toch. U kunt een (voorlopige) melding altijd weer intrekken. Er zijn zelfs vraagtekens te plaatsen bij organisaties die zelden of nooit een melding van een datalek indienen. Zaken als verlies of diefstal van een telefoon of laptop komen immers regelmatig voor en zijn algauw als datalek te kwalificeren.

Evalueer het datalek en tref maatregelen

Heeft u alle bovenstaande stappen doorlopen? Heeft u er alles aan gedaan om de schade zoveel als mogelijk te beperken? Start dan een evaluatie  en tref daar waar nodig maatregelen om een herhaling te voorkomen.

 

 

Niels Ista
Jurist ondernemingsrecht en ICT-recht

Schrijf je in voor onze nieuwsbrief

 

Met het versturen van deze gegevens ga je akkoord met de wijze waarop wij jouw gegevens verwerken. Privacy statement