Layer 1
Alles wat je moet weten over datalekken

3 minuten lezen

Wanneer jij persoonsgegevens verwerkt, is het belangrijk dat deze goed worden beschermd. Je wil een datalek natuurlijk graag voorkomen. Weet jij wat de ernst van een datalek is en wanneer een datalek gemeld moet worden? In deze blog helpen wij je een stap verder in het begrijpen van de oorzaak van datalekken en hoe je goed kunt handelen als er een datalek plaatsvindt.

In de Algemene Verordening Gegevensbescherming (AVG) is vastgelegd hoe organisaties moeten omgaan met persoonsgegevens. Hierin staat ook dat je de persoonsgegevens die je verwerkt, moet beveiligen tegen verlies en onrechtmatige verwerking. Ook zegt de AVG hoe je moet omgaan met een datalek.

Wat is een datalek?
Kort samengevat: een datalek is een inbreuk op de beveiliging van persoonsgegevens. Een datalek kan voor komen wanneer je persoonsgegevens verwerkt. Als er een datalek plaatsvindt, betekent dit dat de personen waarvan de gegevens verwerkt worden een risico lopen. Hun gegevens kunnen namelijk in de verkeerde handen vallen. Een datalek vindt plaats als persoonsgegevens

  • gewist worden
  • verloren raken
  • worden veranderd
  • toegankelijk zijn terwijl dat niet de bedoeling is

Een voorbeeld? Stel, je hebt een papieren dossier met gegevens van je klanten. Als je deze per ongeluk in de trein laat liggen, is er sprake van een datalek. Of stel je voor dat jouw organisatie is geraakt door een cyberaanval waarbij persoonsgegevens zijn buitgemaakt. Ook dan is er sprake van een datalek.

De gevolgen van een datalek
Wanneer zich binnen jouw bedrijf een datalek voordoet, is het belangrijk dat je snel en correct handelt. Als je niet juist reageert, kan dit onnodige en zelfs vervelende gevolgen hebben, zoals:

  • Nog nadeliger consequenties voor de betrokkenen
  • Imagoschade en aangetast vertrouwen in jouw organisatie
  • Het begaan van een overtreding als je het datalek te laat of helemaal niet meldt bij de Autoriteit Persoonsgegevens (AP) en de betrokkenen. Dat kan aan het licht komen wanneer bijvoorbeeld een klant of medewerker melding maakt van het datalek.

Wat moet je doen als je een datalek hebt?
Wij snappen dat het overweldigend kan zijn als er een datalek plaatsvindt binnen jouw bedrijf. Daarom hebben we dit stappenplan voor je, voor het geval het onverhoopt toch gebeurt.

  • Zorg voor overzicht. Beantwoord de volgende vragen: Hoe groot is het datalek? Is het een datalek van gelekte, vernietigde of gewijzigde gegevens? Wie hebben (of hadden) toegang tot de persoonsgegevens?
  • Beperk de schade. Bestudeer de antwoorden die je bij stap 1 hebt gegeven en beperk de schade direct. Zorg bijvoorbeeld dat de gegevens weer worden afgeschermd voor onbevoegden.
  • Meld bij de AP en betrokkenen. Zorg ervoor dat je een datalek meldt zodra je het ontdekt. Twijfel je of je het een datalek moet melden, bekijk dan de voorbeeldlijst van de AP. Weet je zeker dat het een datalek is dat je moet melden? Dan ben je verplicht om dat binnen 72 uur te doen. Help betrokkenen door uit te leggen welke stappen zij kunnen ondernemen om zichzelf te beschermen, zoals bijvoorbeeld het aanmaken van een nieuw wachtwoord.
  • Registreer het datalek. Je hoeft een datalek niet te melden aan de AP en de betrokkenen als het onwaarschijnlijk is dat het datalek zal leiden tot een inbreuk op de rechten en vrijheden van de betrokken personen. Wanneer de datalek niet gemeld hoeft te worden aan de AP, is het wel belangrijk om het datalek te vermelden in een eigen datalekregister. Mocht er in de toekomst dan toch nog iets opspelen, dan kun je de details terugvinden.

Je maakt dus een inschatting of er een hoog risico achter een datalek schuilt. Dit doe je door te berekenen of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokken personen.

Bescherm jouw organisatie tegen een datalek
Een datalek binnen je bedrijf is erg vervelend, daarom is het belangrijk om jezelf te beschermen. Jouw bedrijf is zelf verantwoordelijk om passende technische en organisatorische maatregelen te nemen. Gelukkig zijn er meerdere manieren om de kans op datalekken te verkleinen:

  • Maak je medewerkers bewust. Het is belangrijk dat iedereen in het bedrijf voorzichtig omgaat met persoonsgegevens. Een ongeluk (datalek) zit in een klein hoekje.
  • Voeg de BCC-optie toe aan het e-mailprogramma van je bedrijf. Deze functie zorgt ervoor dat je e-mails met persoonsgegevens in de adressering afgeschermd kunt doorsturen.
  • Update software binnen je bedrijf regelmatig en bekijk of het automatisch installeren van updates voor jouw bedrijf een goede oplossing is.
  • Verwerk jij namens een andere organisatie gegevens, of andersom? Maak heldere afspraken die je vastlegt in een verwerkersovereenkomst. In een verwerkersovereenkomst maken opdrachtgever (verwerkingsverantwoordelijke) en een opdrachtnemer (verwerker) afspraken met elkaar over hoe ze met de persoonsgegevens omgaan, hoe ze die moeten beschermen en wat ze moeten doen om een datalek te voorkomen.
  • Creëer overzicht met een privacyverklaring. Een privacyverklaring is volgens de AVG verplicht. In een privacyverklaring benoem je welke gegevens verzameld worden via je website, en met welk doeleinde. Je benoemt hierin ook welke maatregelen je neemt om de persoonsgegevens te beschermen. Door je websitebezoekers goed te informeren, bescherm je hen en jezelf.

Jezelf beschermen? Met onze privacyverklaring en verwerkersovereenkomst maak je inzichtelijk welke persoonsgegevens jouw website verzamelt en op welke manier dat gebeurt. Zo voldoe jij helemaal aan de wet- en regelgeving.

Gerelateerde artikelen

Wanneer jij persoonsgegevens verwerkt, is het belangrijk dat deze goed worden beschermd. Je wil een datalek natuurlijk graag voorkomen. Weet jij wat de ernst van een datalek is en wanneer een datalek gemeld moet worden?

Lees meer
Verberg

Bedankt!