Stavorenstraat 33, 3826 CJ Amersfoort

085 04 10 440

info@onlin-exposure.nl

 

Wat te doen bij een datalek?

Europese AVG privacywet

Wat te doen bij een datalek?

Wat kun je het beste doen bij een datalek?

Sinds de Wet Bescherming Persoonsgegevens is vervangen voor de Europese AVG privacywet in mei 2018, zijn de regels flink aangescherpt over de omgang met persoonsgegevens. Ook al heeft jouw organisatie alles goed op orde, het kan ook een keer misgaan; er kan een datalek ontstaan. Wanneer is er sprake van een datalek; welke stappen neem je als marketeer of ondernemer en wat betekent het voor jouw organisatie? Bij Online Exposure kun je altijd terecht voor dit soort vragen. De belangrijkste tips over wat te doen bij een datalek vind je alvast in dit artikel.

Wanneer is er sprake van een datalek?

Kort gezegd spreek je van een datalek als:
• Persoonsgegevens zijn verloren of vernietigd en niet terug te halen zijn
• Persoonsgegevens mogelijk zijn verwerkt door een onbevoegd persoon
• Beveiligingsmaatregelen niet voldoende blijken te zijn
Een datalek waarbij persoonsgegevens zijn uitgelekt wordt ook wel een privacylek genoemd. Beveiligde informatie is dan opzettelijk of onopzettelijk vrijgegeven of vrijgekomen, zodat dit bij een onvertrouwd publiek terecht kan komen.

Voorbeelden van een datalek

Denk hierbij aan een bedrijfslaptop of bedrijfstelefoon die in de trein is blijven liggen. Of een stapel papieren die je op je dak van je auto had laten liggen en die wegwaaien terwijl je wegrijdt. Ook een zoekgeraakte privételefoon die je ook zakelijk gebruikt, betekent een datalek.
Andere voorbeelden zijn lijsten met klantgegevens die zijn meegenomen of ontvreemd. Of als je een email stuurt naar verkeerde adressen; computers die worden weggegooid waar nog data op staat, zoekgeraakte USB-sticks of cyberaanvallen.
Het kan ook gaan over persoonsgegevens die verloren zijn geraakt waarvan geen back-up bestaat. Maar als het gaat om gegevens die illegaal zijn verkregen, zoals bedrijfsgegevens, marktstrategie, informatie over productieprocessen en dergelijke, dan valt dit niet onder een datalek volgens de AVG.

Hoe kan ik een datalek voorkomen?

• Afgesloten archiefkasten
• Alle computers zijn vergrendeld indien (even) niet in gebruik
• Clean desk policy
• Naleven van de privacywetgeving

De stappen die je moet nemen bij een datalek

Bij een datalek ben je als organisatie verplicht om dit officieel te melden de Autoriteit Persoonsgegevens (AP) en eventueel aan de betrokkenen.
Bij een datalek neem je de volgende stappen:
• Doe een officiële melding bij AP binnen 72 uur na ontdekking via het Meldloket Datalekken
• Schakel de juridische afdeling van de organisatie in of juridische hulp van buitenaf
• Stel een werkgroep samen die de inbreuk monitort en afhandelt
• Zorg ervoor dat data en bewijs veilig worden gesteld, zoals logfiles van de servers
• Leg contacten met betrokken partijen vast en houd een logboek bij van alle acties en gebeurtenissen
• Stel een persverklaring op en stuur een bericht aan de betrokkenen
• Bij twijfel: een melding die achteraf niet nodig was, kan altijd worden ingetrokken

Lees ook: De Europese AVG Privacywet. Mag ik nog mailen?

Wat moet ik in de melding van een datalek omschrijven?

• Naam en contactgegevens van de functionaris of contactpersoon voor gegevensbescherming
• Aard van de inbreuk en het (geschatte) aantal categorieën van de betrokkenen en persoonsgegevensregisters
• Maatregelen om de inbreuk aan te pakken
• Waarschijnlijke gevolgen van de inbreuk

Wat zijn de gevolgen als je een datalek niet meldt?

• Als het datalek later uitkomt, levert dit een (extra zware) boete op
• Op het moment dat het lek alsnog ‘uitlekt’ zijn de publieke aandacht en (reputatie)schade mogelijk nog groter
• Werknemers van wie gegevens gelekt zijn, kunnen een klacht indienen bij de Autoriteit Persoonsgegevens
• Betrokkenen zijn niet geïnformeerd en kunnen geen maatregelen nemen, zoals het wijzigen van wachtwoorden. Bij een claim of rechtzaak, ontstaan hoge kosten voor de organisatie

Lees ook: Ben ik gehackt? Zo check je het en voorkom je het!

Conclusie

Het naleven van de privacywet wordt gecontroleerd door de Autoriteit Persoonsgegevens. Dit is tegelijkertijd ook het meldpunt voor een datalek. Naast toezicht hierop heeft de AP ook een boetebevoegdheid. Zorg altijd dat je de regels van de wetgeving naleeft. Want een boete hiervoor kan oplopen tot € 20.000.000,- of 4% van de jaaromzet. Dat zijn flinke bedragen dus.
Online Exposure geeft advies over AVG privacy
Weet je niet zeker of de website van jouw onderneming voldoet aan alle AVG privacyregels? Laat deze dan checken. Online Exposure is op de hoogte van alle ins en outs met betrekking tot de nieuwe AVG privacywetgeving en kan hierin adviseren. Bel of mail ons voor een afspraak. Wij helpen je graag verder.