Aug 18, 2022 12:00:00 AM | GDPR Compliance Datalekken komen in iedere organisatie voor. Hoe ga je hiermee om en praktische tips om te voorkomen dat het nogmaals gebeurt.

Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) de “Jaarrapportage meldplicht datalekken 2021”, met een verontrustende stijging van datalekken als gevolg van cyberaanvallen. Naast het voorkomen van datalekken is het zeer belangrijk om te weten hoe te handelen in het geval van een datalek. In deze blog lees je wat je moet doen in het geval van een datalek en hoe PrivacyPerfect hierbij kan helpen.

Het rapport

In het rapport meette de AP met een aantal van 24.866 datalekmeldingen opnieuw een stijging vergeleken met voorgaande jaren. Het rapport laat voornamelijk een explosieve toename zien van het aantal gemaakte meldingen van datalekken veroorzaakt door cyberaanvallen, zoals hacking of phishing. Dit aantal steeg dit jaar met een percentage van maar liefst 88%. De gevolgen van een datalek zijn vaak groot. Zo werden er in 2021 al meer dan 7 miljoen mensen slachtoffer van een datalek bij enkel IT-leveranciers. Adequaat en snel handelen is daarom van uitermate groot belang. Hoe kan je een datalek voorkomen en welke stappen moeten er genomen worden nadat er een heeft plaatsgevonden?

Minimaliseer de kans op een datalek

Een datalek zit in een klein hoekje en kan ook de best beveiligde organisaties overkomen. Daarmee is het wel van belang om de kans op een datalek te minimaliseren. Bedrijven en overheden die persoonsgegevens verwerken, moeten volgens de Algemene Verordening Gegevensbescherming (AVG) passende technische en organisatorische maatregelen nemen om de veiligheid te kunnen waarborgen. Het gebruik van een software tool waarin je zorgvuldig je privacy administratie doet, kan hierbij helpen en zal de kans op een datalek verkleinen.

Tips voor wanneer een datalek heeft plaatsgevonden

Als er toch een datalek heeft plaatsgevonden, is het van cruciaal belang zo snel mogelijk actie te ondernemen. Door snel en adequaat te handelen kan de schade voor betrokken personen en imagoschade van een organisatie worden beperkt en kan een boeteoplegging op grond van de AVG worden voorkomen. In het geval van een datalek is het van belang een aantal stappen te doorlopen:

1. Zorg voor overzicht op de situatie.
   Allereerst is het van belang om een datalek zo snel mogelijk te beëindigen. Een voorafgaand opgesteld werkproces kan voorkomen dat je onnodig tijd verliest en het zorgt ervoor dat je weet welke stappen als eerst moeten worden genomen in het geval een datalek plaatsvindt.
   
   
2. Neem onmiddellijk maatregelen om de schade van het datalek te beperken en schat de risico's in.
   Het nemen van onmiddellijke maatregelen is cruciaal om de negatieve gevolgen van een datalek te kunnen beperken. Een voorbeeld van een maatregel is het op afstand blokkeren van de toegang tot een medewerkersaccount of een clouddienst wanneer er sprake is geweest van een hack.
   
   
3. Bepaal of je het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens (AP). Zo ja, doe dit zo spoedig mogelijk.
   Artikel 33 van de AVG stelt de verwerkingsverantwoordelijke de verplichting om een datalek uiterlijk 72 uur na waarneming te melden aan de toezichthoudende autoriteit. Echter hoeft dit niet in alle omstandigheden, zo hoeft een datalek niet gemeld te worden als het onwaarschijnlijk is dat de betrokkene schade van het lek zal ondervinden. Zoals je wellicht verwacht, hangt dit af van meerdere omstandigheden.
   
   
4. Bepaal of je het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
   Wanneer bij een datalek waarschijnlijk een hoge kans bestaat op schade van de rechten en vrijheden van de betrokkene, ben je op grond van artikel 34 van de AVG verplicht melding van het datalek te doen. Het derde lid van dit artikel stelt een aantal uitzonderingen. Zo is melding aan de betrokkene niet verplicht als je passende technische en organisatorische beschermingsmaatregelen hebt genomen welke zijn toegepast op de gelekte persoonsgegevens en waardoor het hoge risico is gemitigeerd, of als de mededeling een onevenredige inspanning vergt. In dit laatste geval zal een openbare mededeling een alternatief zijn.
   
   
5. Registreer het datalek in jouw datalekregister.
   Iedere verwerkingsverantwoordelijke is volgens de AVG verplicht een datalekregister bij te houden. Zowel gemelde als niet-gemelde datalekken dienen hierin te worden bijgehouden. Door het bijhouden van een datalekregister kun je leren van eerdere datalekken en maatregelen nemen om de kans op nieuwe datalekken te verminderen.

Met de Datalek Register Module van PrivacyPerfect kan jouw organisatie eenvoudig aan deze verplichting van de AVG voldoen. Met behulp van deze module kan je direct beveiligingsincidenten inventariseren en wordt de beoordeling, het beheer en de melding van datalekken aanzienlijk eenvoudiger, wanneer - en als deze zich voordoen. Daarnaast geeft deze module de mogelijkheid advies te ontvangen over de gevolgen van datalekken, communiceer je eenvoudig met interne belanghebbende binnen de software, kan een eigen workflow worden gecreëerd en kunnen datalekken eenvoudig worden gerapporteerd.

Meer informatie over onze Datalek Register Module is te vinden op onze website.
Bronnen:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/datalekkenrapportage_ap_2021.pdf
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/acties-bij-een-datalek
https://open.overheid.nl/repository/ronl-dd12795b-eaa8-4e23-b552-96ef285cb9ad/1/pdf/Handleiding%20Algemene%20verordening%20gegevensbescherming.pdf