Datalekken steeds vaker in het nieuws

19 September 2019

“…De medische gegevens van 25.000 Nederlanders staan onbeveiligd op servers…” Kopte veel landelijke dagbladen vanmorgen. Nieuws over datalekken verschijnen steeds vaker in het nieuws. De Autoriteit Persoonsgegevens (AP) heeft een verdubbeling van het aantal meldingen gezien ten opzichte van 2017.  Maar wat is nu precies een datalek en hoe kunt u hier het beste mee omgaan. Lees ons volledige artikel.

Datalekken

Zorg ervoor dat u voorbereid bent

Interne bewustwording daar begint het mee. Medewerkers dienen te weten wat een datalek is en welke stappen ze moeten ondernemen, hoe ze een datalek kunnen herkennen, wie er verantwoordelijk is binnen de organisatie om deze af te handelen en wat de gevolgen zijn van het achterhouden van een datalek. Mocht het voor een werknemer niet duidelijk zijn of er sprake is van een datalek of een beveiligingsincident, neem dan contact op met een privacy-specialist.

Neem de juiste maatregelen.

Waterdichte beveiliging bestaat er helaas niet. Vanuit de Algemene Verordening Gegevensbescherming (AVG) wordt verwacht dat u als organisatie een vereist beveiligingsniveau toepast op de afgestemde risico’s van verwerkingen van persoonsgegevens. M.a.w. u dient als bedrijf voldoende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen.

Wat is een datalek?

Om te spreken van een datalek, moet er iets is gebeurd dat niet in lijn is met de genomen beveiligingsmaatregelen of het -beleid, en leidt tot een verkeerder verwerking. Dit kan per ongeluk of op onrechtmatige wijze zijn. Datalekken kunnen dus niet alleen ontstaan door bijvoorbeeld hacks en aanvallen, maar ook (juist) door menselijke foutjes. Bij een datalek gaat het dus om ongeoorloofde of onbedoelde ‘verwerking’ van persoonsgegevens. Onder het verwerken vallen alle handelingen die uitgevoerd kunnen worden met persoonsgegevens. Het betreft dus een zeer ruim begrip (!) waaronder in ieder geval valt:

 

‘ het verzamelen, vastleggen, opslaan, ordenen, bewaren,

bijwerken, wijzigen, opvragen, raadplegen, gebruiken,

doorsturen, verspreiden, beschikbaar stellen, samenbrengen,

met elkaar in verband brengen, afschermen, uitwissen en

het vernietigen van gegevens’.

 

Daarnaast heeft de AP de datalekken gecategoriseerd in drie groepen. De drie categorieën datalekken die de AP onderscheidt zijn:

Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.

De AP heeft daarnaast ook enkele voorbeelden van datalekken gepubliceerd:

  • Een direct-marketingmail wordt verzonden naar ontvangers in “CC” in plaats van in “BCC”;
  • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
  • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
  • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt;
  • persoonsgegevens wordt naar de verkeerde mailinglijst verzonden.

 

Wat moet u doen als u een datalek ontdekt?

Is er vermoeden van een datalek, kom dan als organisatie snel in actie om grotere problemen te voorkomen.

De verwerkingsverantwoordelijke moet een datalek binnen 72 na ontdekking melden bij de toezichthouder.

Ben je veelal verwerker van persoonsgegevens, dan kun je een meldplicht richting je klanten hebben. De wet zegt niet binnen welke termijn deze melding moet worden gedaan, maar dit dient in ieder geval, zonder onredelijke vertraging, na ontdekking te gebeuren. Dit dient duidelijk in de verwerkersovereenkomst te staan.

Bestaat er een hoog risico voor betrokkene(n), dan dient u ook de betrokkene(n) te informeren. In begrijpelijke taal legt u uit over wat er precies is gebeurd en wat de gevolgen kunnen zijn. Ook dienen zij te horen waar ze terecht kunnen voor meer informatie en of ze zelf nog maatregelen kunnen nemen. De manier waarop is vormvrij: dit mag per mail, maar ook telefonisch of in persoon.

Neem al uw beveiligingsincidenten en datalekken op in een intern datalekkenregister.

Een boete ja of nee?

Een datalek levert niet altijd een boete op. Wanneer de beveiliging op orde is, en een datalek netjes wordt gemeld, hoeft de melder zich in principe geen zorgen te maken. Is de beveiliging echter niet op orde en wordt een datalek gemeld, dan kan dit inderdaad leiden tot een onderzoek en een boete voor onvoldoende beveiliging. Is de beveiliging wel op orde, maar wordt een datalek onder het kleed geschoven en de toezichthouder komt hierachter, dan kan dit leiden tot een boete voor het verzwijgen. Is én de beveiliging niet op orde én er wordt niet gemeld, dan is de organisatie dubbel in overtreding.

Datalekken vallen in de zogenaamde tweede boetecategorie. Dat betekent at overtreding kan leiden tot een boete van maximaal €10.000.000,- of 2% van de wereldwijde omzet.

Meer weten hoe wij u kunnen helpen, neem dan snel contact met ons op.