Datalek, het mooiste horror woord van de hele AVG. Misschien na miljoenenboete, maar datalek spreekt meer tot de verbeelding. Laat ik dit artikel met een kleine fact beginnen. De term datalek komt niet eens voor in de AVG! Hoppa die is al binnen, maar er ligt nog meer kennis voor het oprapen. In dit stuk lees je wat een datalek is en hoe je vervolgens moet handelen. Spoiler alert: de kans dat je ooit één datalek krijgt, is groot dus zorg er voor dat jouw bedrijf hier makkelijk op kan reageren.
Inbreuk in verband met persoonsgegevens
De wettelijke definitie van een datalek staat in artikel 4 lid 12 AVG. “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.
Dan klinkt datalek toch een stuk sexyer of niet? Het enige probleem van deze term is dat mensen meestal denken dat het alleen maar gaat om het “lekken” van informatie. Denk aan een mail naar de verkeerde persoon of een hacker die toegang heeft tot jouw digitale mappen. Onder een datalek valt niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens. Er zijn drie soorten datalekken:
Inbreuk op de vertrouwelijkheid – Denk aan een een verkeerde ontvanger in de cc of een hacker die jouw klantgegevens openbaar maakt.
Inbreuk op de integriteit – Denk aan een collega die per ongeluk een digitale map verwijdert of je pakt per ongeluk het dossier van een andere klant erbij en veranderd foutief de gegevens.
Inbreuk op de beschikbaarheid – Denk aan een in de hens gevlogen archiefkast of een ransomeware aanval. Zo zijn de gegevens ontoegankelijk. Ransomeware lijkt overigens een gigantische trend te zijn in 2020.
Wel of niet melden
Oké nu hebben we een datalek en wat dan? Bellen we gelijk naar de Autoriteit Persoonsgegevens (hierna “AP”) of sturen we een excuusbloemetje naar de persoon wiens gegevens zijn gelekt? Nee, je kijkt of de kwestie dermate ernstig is om te melden. Deze melding moet binnen 72 uur, ja het weekend wordt meegerekend, bij de AP. Op de site van de AP zie je hoe dit werkt, maar waneer is nou een datalek ernstig vraag je je af? Nou er moet sprake zijn van ernstige nadelige gevolgen voor belanghebbenden. Dit heeft twee kanten namelijk de kwantitatieve en kwalitatieve kant.
Kwantitatief: dit gaat over de hoeveelheid. Denk aan Facebook die gegevens lekt van miljoenen gebruikers wereldwijd.
Kwalitatief: ik wil het eigenlijk niet doen, maar denk aan het HagaZiekenhuis (Barbie incident). Wanneer zeer gevoelige informatie wordt gelekt van één of een beperkt aantal personen kan dat een melding bij de AP rechtvaardigen. Denk aan een medisch dossier.
Als het gaat om een datalek waarin per ongeluk een collega is meegenomen wat niet de bedoeling was of je laat een brief met adresgegevens open en bloot liggen is dit niet per definitie voldoende om het te melden. Voorkom dat je onnodig een melding maakt en daarmee meer risico loopt voor jouw reputatie. Wat je wel altijd moet doen is het documenteren van een datalek. Daar komt het datalek register aan bod.
Datalek register
In zo’n register, dit kan een excel bestand zijn, noteer je alle datalekken. Of je deze nou wel of niet hebt gemeld. Dit is een verplichting dus zorg dat je alles documenteert. Zo kan je in elk geval achteraf verantwoorden waarom je iets niet hebt gemeld als de AP een controle uitvoert. De AP geeft een aantal tips voor zo’n register.
- Omschrijf de incidenten, gevolgen en genomen maatregelen volledig;
- Maak een onderscheid tussen preventieve en corrigerende maatregelen;
- Zorg voor een helder en duidelijk overzicht;
- Als je een FG hebt, noteer dan ook of deze betrokken is geweest;
- Geef aan bij wie het datalek is gemeld en waarom juist wel of niet;
- Wees transparant en communiceer helder naar de betrokkenen. Zorg ook dat je dit bewijs van communicatie bewaard en verwerkt in jouw register;
- Informeer jouw medewerkers over het gebruik van het datalekregister;
- Notuleer of mogelijk andere organisaties ook betrokken zijn bij een datalek, denk aan een leverancier;
- Categoriseer datalekken in aard, gevolgen, betrokkenen en genomen maatregelen;
- Neem datalekken mee in jouw Plan-Do-Check-Act cyclus. Dit is overigens heel belangrijk als je een sterk privacybeleid en eigenlijk sterk businessbeleid wilt hebben.
Een hoop tips, maar wellicht dat sommige tips van de AP toch vragen oproepen. Schroom niet om mij te contacteren en dan kijken wij samen naar jouw datalek register.
De cijfers liegen er niet om
Een datalek is snel gebeurt. Zie de cijfers hierboven voor het geval je denkt, och Kenneth dat gebeurt mij echt niet. En dan zijn dit nog alleen de gemelde datalekken bij de AP. Het is meer een vraag van wanneer, dan of, je een datalek krijgt. De vervolgvraag die jij nu moet beantwoorden is: heb ik een helder protocol om juist te handelen bij een datalek?
Je zal hoe dan ook te maken krijgen met een datalek. Dit is absoluut niet om jou bang te maken, maar om jou te helpen. Een goede voorbereiding kan jou zeer veel geld besparen. Investeer nu in jouw datalekprotocol zodat je later niet ontzettend veel geld kwijt bent aan herstelwerkzaamheden of nog erger de wederopbouw van jouw prachtige merk! Kom nu in acties zodat jij niet een van bovengenoemde statistieken wordt. Investeren in een goed datalekprotocol zal jou extra klanten opleveren. Ik vertel jou daar graag meer over.
Vond jij dit artikel interessant? Laat het dan vooral weten hieronder en kijk ook naar mijn andere artikelen uit de AVG Ondernemersgids.