Management

Dit is een bijdrage van KPMG
Privacy
wat-te-doen-bij-een-datalek

Vermoedt u een datalek?

In zes stappen naar de juiste actie

 

1 april 2019
Door: KPMG, partner

In zes stappen naar de juiste actie

 

Een datalek kan vrijwel elke organisatie treffen. Per ongeluk een e-mail met persoonsgegevens naar de verkeerde persoon gestuurd? Getroffen door een hack, waardoor allerlei persoonsgegevens bekeken kúnnen zijn? Handel dan snel en volg de zes stappen uit deze blog. De Autoriteit Persoonsgegevens (AP) ziet streng toe op gevallen waarin u niets doet of een mogelijk datalek verzwijgt.

Van verlies tot onrechtmatige toegang
Stel, in uw organisatie zijn – onbedoeld – persoonsgegevens verdwenen, zonder toestemming toegankelijk geweest, openbaar gemaakt of zelfs vernietigd. In al die gevallen kan er sprake zijn van een datalek. Het hangt van de ernst en de situatie af of u een datalek ook moet melden bij de AP.

Zo onderneemt u de juiste actie
Wanneer u een datalek vermoedt, volg dan deze zes stappen.

1. Dicht het lek
Denkt u dat het datalek nog voortduurt? Neem dan allereerst maatregelen om het lek zo snel mogelijk te dichten en eventuele schade te beperken. Neem het zekere voor het onzekere. Analyseer het datalek en de omvang. Dit is niet altijd dagelijkse kost voor een IT-manager. Schroom niet om Cyber Security-kennis in te schakelen om goed na te gaan wat er is gebeurd. Degelijk inzicht geeft meer zekerheid dat het lek ook echt is gedicht.

2. Bepaal of het om een datalek gaat
Start een vooronderzoek om te bepalen of het echt om een datalek gaat. Is dat zo, dan moet u het zo snel mogelijk en in ieder geval binnen 72 uur bij de AP en eventueel bij de betrokkenen melden.

3. Verzamel relevante informatie
Is het inderdaad een datalek? Dan verzamelt u zo veel mogelijk informatie: om welke persoonsgegevens gaat het en hoeveel, wie of welke groep(en) mensen wordt (worden) geraakt, wat zijn de gevolgen en is er schade geleden?

4. Beoordeel of u het datalek moet melden
Een datalek dat een risico vormt voor de rechten en vrijheden van betrokkenen, meldt u uiterlijk binnen 72 uur nadat u het geconstateerd hebt bij de AP. Of het een dergelijk risico is, beoordeelt u onder andere op basis van de aard van de inbreuk, de gevoeligheid en omvang van de persoonsgegevens, het gemak waarmee personen geïdentificeerd kunnen worden en de ernst van de gevolgen.

Gaat het om een ‘hoog risico’, dan moet u het datalek óók aan de betrokkenen melden. Denk bij een hoog risico aan financiële schade, reputatieschade, discriminatie of fraude.

5. Neem maatregelen tegen toekomstige incidenten
U hebt nu alle informatie en plant de vervolgacties. Zo neemt u nu de technische en organisatorische maatregelen waarmee u in de toekomst soortgelijke inbreuken voorkomt.

Onderneem actie om mogelijke vragen van de media goed te kunnen beantwoorden (informeer interne medewerkers, instrueer klantenservice en stel een mediastatement vooraf op indien nodig).

6. Verwerk het datalek in een speciaal register
In een speciaal daarvoor aangemaakt register houdt u alle datalekken bij. Zo’n register is verplicht en omvat zowel de datalekken die gemeld moesten worden als de datalekken die geen risico voor de rechten en vrijheden van betrokkenen vormden. Daarin registereer je ook o.a. welke beheersmaatregelen er al aanwezig waren en wat de vervolgacties zijn geweest.

Bewustzijn breed in de organisatie
Belangrijk is dat u actie onderneemt bij elk vermoeden van een datalek. En dat geldt ook voor uw medewerkers. Zorg daarom dat uw medewerkers in staat zijn mogelijke datalekken te herkennen. Dat loont, want de sancties en boetes die de AP oplegt zijn namelijk stevig. Zo kreeg Uber vorig jaar een boete van EUR 600.000 voor het niet melden van een datalek aan de AP en aan de betrokkenen. Inmiddels heeft de AP bekendgemaakt strenger te letten op overtredingen van de meldplicht datalekken.

Daarbij let de AP vooral op:
- datalekken die niet aan de AP gemeld zijn en (ten onrechte) niet aan de betrokkenen;
- datalekken die te laat aan de AP gemeld zijn;
- datalekken die veroorzaakt zijn door een beveiligingsprobleem.

Zo helpt KPMG

Een goede vertrouwensrelatie met uw klanten en medewerkers is de basis van het succes van uw organisatie. Met een Data Protection Officer (DPO), oftewel een functionaris voor gegevensbescherming, versterkt u die vertrouwensrelatie direct. Kiest u voor onze dienst DPO as a Service, dan profiteert u bovendien van flexibele inzet en altijd passende expertise.

Geen DPO nodig, maar wel behoefte aan incidentele ondersteuning bij privacyvragen? Vraag ons dan naar de mogelijkheden van onze Privacy Helpdesk.

Wij helpen u ook graag bij het in kaart brengen van de privacyvolwassenheid van uw organisatie of bij het uitvoeren van Data Privacy Impact Assessments (DPIA’s). Met de Data Privacy-diensten van KPMG bieden we u een complete aanpak: onze privacyexperts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw organisatie, helpen u met het implementeren van organisatorische en technische databeschermingsmaatregelen en hanteren daarbij een pragmatische en hands-onaanpak. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat het vertrouwen in uw organisatie geborgd is.

Meer informatie

Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem contact op met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy.

Reactie toevoegen