Datalek: wat is het en hoe kun je het voorkomen?
Heel vervelend, je hebt een datalek en nu? Onze juridisch adviseur Henk Bethlehem vertelt je welke acties je moet nemen in het geval van een datalek en hoe je het kunt voorkomen. We hebben veelgestelde vragen en antwoorden over datalekken voor je op een rij gezet:
Publicatiedatum: 8 maart 2022
Wat is een datalek?
Bij een datalek gaat het om de ongeoorloofde of onbedoelde toegang tot persoonsgegevens. En ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. De term komt niet voor in de Avg. Daar gaat het over een ‘inbreuk in verband met persoonsgegevens’.
Wat zijn voorbeelden van datalekken?
Voorbeeld van datalekken zijn:
- Je bent een USB-stick verloren met daarop niet-versleutelde gegevens.
- Een ransomware-aanval kan ook een datalek zijn als je niet meer bij de gegevens kunt, of als een ander ze heeft buitgemaakt.
- Je laptop is gestolen met daarop niet versleutelde gegevens.
Welke acties kan ik nemen in het geval van een datalek?
Is er sprake van een datalek, zorg dan allereerst voor overzicht. Analyseer de situatie en kijk wat je kunt doen om verdere schade te voorkomen. Kijk bijvoorbeeld wie toegang tot de informatie heeft gehad. En of je gegevens op afstand kunt wissen. Ga vervolgens na of je het datalek bij de Autoriteit Persoonsgegevens (AP) en eventueel de betrokkene moet melden. Dat kun je doen met behulp van deze Guidelines en/of de informatie op de website van de AP.
Moet ik elk datalek melden? En hoeveel tijd heb ik om dat te doen?
Je hoeft niet elk datalek te melden bij de AP. Alleen als het datalek leidt tot een risico voor rechten en vrijheden van betrokkenen. Je hebt daar 72 uur voor. Als verwerker hoef je trouwens nooit de melding aan de AP te doen. Dat is aan je klant (de verwerkingsverantwoordelijke). Is het niet helemaal duidelijk of je verwerker of verwerkingsverantwoordelijke bent? Ga dit na in onze quickscan. Ben je verwerker en heb je een datalek? Dan is het wel belangrijk dat je je klant op de hoogte stelt van dit lek. Partijen zijn verplicht om hierover afspraken te maken in een verwerkersovereenkomst, dus kijk dat goed na. Heb je nog geen verwerkersovereenkomst? Lees er hier meer over en/of bestel of download onze voorbeeld verwerkersovereenkomst.
Hoe kan ik de risico’s van een datalek bepalen?
Bepaal het risico door de volgende zaken na te gaan:
- de aard van de inbreuk
- de aard, gevoeligheid en omvang van de persoonsgegevens
- de ernst van de gevolgen voor personen
- het aantal getroffen personen
Wie meldt een datalek bij de AP (en eventueel de betrokkene)?
Dat doet de verwerkingsverantwoordelijke zelf. Waarbij de verwerker ondersteuning kan bieden door informatie aan te leveren, als die bekend is. Vandaar ook de 24-uurs of 48-uurs termijn die partijen in een verwerkersovereenkomst afspreken.
Hoe kan ik een datalek voorkomen?
Een datalek is niet altijd te voorkomen. Maar wat je wel in de hand hebt, is dat je zorgt voor een goede informatiebeveiliging, met toegangscontrole en encryptie. Ook kun je door middel van dataminimalisatie een datalek voorkomen. Wat je niet hebt verzameld, kun je immers ook niet onbedoeld vrijgeven. En dat geldt ook voor het opschonen van je systemen. Wat je niet meer nodig hebt, kun je verwijderen. Het opleiden van medewerkers is ook van belang. Als men herkent dat ze niet op bepaalde e-mails moeten klikken of reageren, kun je soms een datalek voorkomen. En tot slot kun je er ook voor zorgen dat je voorbereid bent. Bijvoorbeeld door iemand op afstand beschikbaar te hebben die een wachtwoord of apparaat kan resetten.
Moet ik datalekken ook bijhouden in een register?
Jazeker. Zowel datalekken die je meldt, als die je niet meldt, moet je bijhouden in een register voor datalekken. Daarin neem je op wat er is gebeurd, wanneer dat is gebeurd, op welke datum en hoe laat je dat hebt ontdekt, om wat voor datalek het gaat, hoeveel personen het betreft, wat het geschatte gevolg is voor de betrokkene, of je het datalek binnen 72 uur hebt gemeld bij de AP en de betrokkene, en zo niet, waarom niet. Tot slot moet je nog noemen welke maatregelen je hebt genomen om datalekken te voorkomen.
Moet ik een protocol hebben voor het melden van datalekken?
Jazeker. Dat is van belang om te hebben, zodat je personeel weet wat ze moeten doen in het geval dat er zich een incident voordoet.
Heeft NLdigital ook een datalekprotocol voor mij?
We helpen onze leden met handige documenten, zoals een voorbeeld datalekkenprotocol. Je vindt dit protocol in het ledenportal.