Datalek protocol: wat te doen bij een datalek?

Ze verschijnen bijna dagelijks in het nieuws: datalekken. En hoewel de hoeveelheid datalekken na jaren van stijgingen eindelijk iets aan het afnemen is, tellen de 23.976 geregistreerde meldingen bij de Autoriteit Persoonsgegevens (AP) toch echt als een soort waarschuwing voor organisaties en bedrijven. Want een datalek zit in een klein hoekje. Denk aan het versturen van een email naar de verkeerde persoon, het per ongeluk openen van een phishing mail of een gestolen werktelefoon. Maar wat moet je eigenlijk doen bij een datalek? En hoe stel je een datalek protocol op?

Wat is een datalek?

Je spreekt van een datalek of privacylek wanneer er inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden. In simpelere woorden: een datalek ontstaat wanneer persoonsgegevens in handen vallen van iemand die eigenlijk geen toegang tot die gegevens zou mogen hebben. Ook is er sprake van inbreuk op de beveiliging wanneer er persoonsgegevens verloren gaan zonder dat er een back-up van deze gegevens aanwezig is. Let op: een dreiging of tekortkoming in bijvoorbeeld de beveiliging van een organisatie telt niet. Inbreuk vindt pas plaats wanneer er persoonsgegevens gelekt of verloren zijn. En dit zijn enkele voorbeelden.

Voorbeelden van datalekken:

  • Het verlies of diefstal van een werktelefoon, laptop of USB-stick met niet versleutelde persoonsgegevens
  • Een cyberaanval of hack die persoonsgegevens stelen 
  • Het openen van een phishing mail die uiteindelijk leidt naar toegang tot persoonsgegevens

Wat moet ik doen bij een datalek?

Volgens de AVG (Algemene Verordening Gegevensbescherming) dien je als bedrijf of organisatie persoonsgegevens goed te beschermen. Ja, dit geldt óók wanneer je een thuiswerker of eenmanszaak bent. Ontstaat er ondanks alle voorzorgsmaatregelen toch een datalek? Dan is een duidelijk vooraf opgestelde handelswijze onmisbaar. Zo’n handelswijze noemen we een datalek protocol.

Hoe stel je een datalek protocol op?

Een datalek protocol beschrijft de exacte stappen die moeten worden gevolgd wanneer persoonsgegevens in de verkeerde handen vallen. In zo’n protocol staat bijvoorbeeld wat een datalek precies inhoudt, wie er intern verantwoordelijkheid voor het lek draagt en welke stappen er gezet moeten worden om het datalek af te handelen. Een goed datalek protocol biedt houvast als er daadwerkelijk een lek plaatsvindt én zorgt dat je in alle rust een passende oplossing hebt voor bepaalde situaties.

Inhoud van een datalek protocol

1. Type datalek

Het is aan te raden om in een protocol op te nemen welke verschillende soorten datalekken er kunnen optreden. Soms lijkt iets geen datalek maar is dat wel degelijk het geval. Er zijn drie categorieën waarin datalekken te onderscheiden zijn. Afhankelijk van de omstandigheden kan een datalek in één of meerdere categorieën vallen.

  • Inbreuk op de vertrouwelijkheid: wanneer er een onbevoegde of onopzettelijke openbaring of toegang plaatsvindt van persoonsgegevens. Dit kan een hacker zijn die binnendringt in een server óf een mail waarbij e-mailadressen via de CC zijn verzonden in plaats van de BCC.
  • Inbreuk op de integriteit: wanneer er een onbevoegde of onopzettelijke wijziging plaatsvindt van persoonsgegevens. Wanneer een cybercrimineel data versleutelt, zodat deze niet meer toegankelijk is voor werknemers, dan wordt de data ‘gegijzeld’.
  • Inbreuk op de beschikbaarheid: wanneer er onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens plaatsvindt. Dit kan een sticky note zijn met wachtwoorden óf een server die kapotgaat en waarbij data verloren raakt.

2. Correcte afhandeling/stopzetting van het lek

Er zijn vaak meerdere manieren om een datalek te stoppen, omdat er verschillende soorten datalekken zijn. Het is aan te raden om per categorie een correcte afhandeling of stopzetting van het lek te beschrijven. In sommige gevallen is het belangrijk om zo veel mogelijk gegevens te redden, maar het kan ook voorkomen dat een indringer zo snel mogelijk gestopt moet worden. Denk aan het resetten van wachtwoorden of het afsluiten van complete servers.

3. Wie is waarvoor verantwoordelijk?

Misschien wel de belangrijkste vraag bij een datalek: wie heeft de touwtjes in handen? Of beter nog: wie houdt het overzicht? Schrijf in je datalek protocol op wie welke rol aanneemt én wie de ‘runner-up’ is. Zo voorkom je dat werk dubbel wordt gedaan (dubbele back-ups) of dat werk juist blijft liggen (partners worden niet ingelicht).

4. Melding maken

In veel gevallen dient er een melding gemaakt worden van het incident. Neem daarom in het protocol op welke meldingen er in welke situaties gemaakt moeten worden en wie verantwoordelijk is voor de melding. Ben je verwerker voor de gelekte gegevens? Dan loopt het melden van het datalek bijvoorbeeld via de verantwoordelijke namens wie jij de gegevens verwerkt.

5. Interne en externe communicatie

Tot slot is het belangrijk om de communicatie op orde te hebben. De berichtgeving over een datalek moet namelijk zorgvuldig gebeuren. Je kun al het een en ander aan voorwerk doen. Stel een standaardmail op voor een aantal scenario’s die jouw collega’s kunnen raadplegen. Hetzelfde geldt voor persberichten of communicatie richting partners en aandeelhouders. Probeer een zo’n compleet mogelijk pakket samen te stellen met namen, contactgegevens, sjablonen en stappenplannen zodat je snel en efficiënt te werk gaat.

Ik heb een datalek ontdekt, wat nu?

Is er sprake van verlies, onterechte verwerking of diefstal van persoonsgegevens dan heb je dus te maken met een datalek. Hieronder lees je welke stappen je moet zetten als er sprake is van een datalek.

Stap 1: Blijf kalm en houd overzicht

Wanneer een (of meerdere) onbevoegde(n) toegang krijgen tot persoonsgegevens is snel handelen cruciaal. Maar vóór je in de actiemodus schiet is het belangrijk om te bepalen of er daadwerkelijk een datalek plaatsvindt (of heeft gevonden). In sommige gevallen lijkt het alsof criminelen toegang hebben gekregen tot gevoelige informatie. In werkelijkheid kan dit ook misleiding zijn. Mails, smsjes of zelfs brieven waarin de dader bluft met informatie terwijl er in werkelijkheid niets aan de hand is.   

Stap 2: Trek (waar mogelijk) de stekker eruit

Heeft er inderdaad een datalek plaatsgevonden? Dan is het aan te raden om zo snel mogelijk de ernst van de situatie in te schatten. Hoe eerder en sneller je dit doet, des te kleiner de kans op het weglekken van nog meer persoonsgegevens. Je kunt namelijk te maken hebben met een ‘actief’ datalek. Hier is sprake van wanneer de indringer nog toegang tot de data heeft en nieuwe gegevens binnen kan halen. Misschien is het de actie van een snode cybercrimineel, maar een onbevoegde (ex) medewerker kan ook de oorzaak zijn.

Om een actief datalek te stoppen kan het slim zijn om de stekker eruit te trekken. Letterlijk. Denk aan het loskoppelen van een computer of het uitschakelen van een complete netwerkserver. Vraag jezelf daarnaast af wat je nog meer kunt doen om de schade te beperken. Is er een manier om bepaalde bestanden op een andere server of schijf op te slaan? Kun je alle wachtwoorden direct veranderen of een tweestapsverificatie activeren? Houd hierbij ook rekening met de tijd die een ingreep kost.

Stap 3: Verzamel gegevens

Je hebt gedaan wat mogelijk was om de schade te beperken. Nog voor het melden van het datalek is het belangrijk om zo veel mogelijk data te verzamelen. Welke gegevens zijn er precies gelekt? Wat ging er vooraf aan het lek? Wat hierbij helpt is om een serie schermafbeeldingen te maken en beschrijven hoe het datalek heeft kunnen plaatsvinden. Veel organisaties en bedrijven gebruiken systemen die automatische logbestanden aanmaken. Een gedetailleerd rapport vermindert de kans op eventuele boetes.

Stap 4: Meld het lek bij de Autoriteit Persoonsgegevens (indien nodig)

Met ingang van 1 januari 2016 geldt er in Nederland de Meldplicht Datalekken. Dit houdt in dat bedrijven en overheidsinstanties in Nederland verplicht zijn om een melding te doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Dit gaat op voor alle datalekken, tenzij het onwaarschijnlijk is dat het datalek leidt tot een hoog risico voor de rechten en vrijheden van betrokkenen. Wel is het noodzakelijk dat de melding plaatsvindt binnen 72 na ontdekking van het lek.

Wanneer je twijfelt of een melding wel of niet noodzakelijk is, kun je een datalek het beste alsnog melden. Doe je niet dit en blijkt achteraf dat het onterecht is, dan loop je het risico op een flinke boete. Zo kan het bedrag oplopen tot meer dan €800.000. Daarnaast kun je een melding, die achteraf niet noodzakelijk blijkt te zijn, altijd weer intrekken.

Stap 5: Meld het lek bij de betrokkenen (indien nodig)

Bij een hoog risico moet het datalek gemeld worden bij de betrokken personen. Dit zijn de mensen van wie de gegevens zijn gelekt en waarbij schade niet uitgesloten kan worden. Schade is in dit geval een breed begrip. Zo kan het bijvoorbeeld privacy, imago of juist financiële schade zijn. Je hoeft hiervoor niet alle details te geven, maar het moet wel zo snel mogelijk gebeuren. Als je besluit het melden van de betrokkenen achterwege te laten moet dat in de melding aan de AP worden vastgelegd. 

Stap 6: Registreer het datalek

Na het melden van een datalek aan de AP (en eventuele) betrokkenen is het noodzakelijk om het datalek te registreren in het datalekregister. Iedere organisatie die verwerkingsverantwoordelijke is, is volgens de privacywet verplicht een datalekregister op te stellen. Hierin wordt bijgehouden welke datalekken er hebben plaatsgevonden. Dus ook de minder ernstige lekken.

Wees voorbereid op een datalek met een datalek protocol

Of je nu een overheidsinstantie of een kleine onderneming bent, een datalek kan ieder moment plaatsvinden. Zelfs wanneer je goed beveiligd bent. Toch zijn er nog veel organisaties die ontbrekende of onvoldoende datalek procedures hebben. Wil jij snel kunnen schakelen als persoonsgegevens uitlekken én een boete voorkomen? Zorg dan dat jij of jouw bedrijf beschikt over een duidelijk datalek protocol.

Let op: afhankelijk van wanneer je dit artikel leest kan deze informatie verouderd zijn. De artikelen op deze website bevatten algemene juridische informatie, maar uitdrukkelijk geen één-op-één advies. Hulp nodig bij jouw specifieke situatie? Neem dan contact met ons op.

Iris Slabbekoorn

Scroll naar top