Ga naar de inhoud
13 april 2023 • Nieuws

Eerste hulp bij datalekken

Het zal u maar als organisatie gebeuren, dat u de dupe wordt van een datalek. Bij Bibliotheek Rotterdam was dit eind vorig jaar helaas het geval. Een cyberaanval heeft de systemen buiten gebruik gezet en persoonsgegevens van zowel personeel als leden buit gemaakt. Een inbraak helemaal voorkomen is onmogelijk, maar u kunt wel zorgen voor adequate beveiliging en procedures om risico’s flink te verkleinen.

import217-Datalek_Illustratie_Banner_1

Datalek versus beveiligingsincident

Er wordt vaak gesproken over een beveiligingsincident en een datalek, maar wat is nu het verschil?

  • Een beveiligingsincident heeft betrekking op alle situaties waarbij sprake is van een inbreuk op de beveiliging.
  • Een datalek is een beveiligingsincident waarbij persoonsgegevens betrokken zijn dat mogelijk leidt tot risicovolle gevolgen voor de privacy van betrokken personen.

Een datalek is altijd een beveiligingsincident, echter een beveiligingsincident is in sommige gevallen een datalek.

De wetgeving

Op grond van de Algemene Verordening Gegevensbescherming (AVG) moeten alle bedrijven, van commerciële organisaties tot goede doelen en overheden, die persoonsgegevens verwerken, binnen 72 uur na het ontdekken van een datalek hiervan melding doen. Deze wordt gemeld bij de Autoriteit Persoonsgegevens (AP) als het lek (kans op) ernstige nadelige gevolgen heeft voor de privacy van de betrokkenen.

De Bibliotheek Rotterdam heeft de juiste stappen ondernomen om de betrokkenen te informeren en het datalek te melden aan de Autoriteit Persoonsgegevens. De betrokkenen zijn geïnformeerd, zodat zij zichzelf kunnen beschermen tegen identiteitsdiefstal en financiële fraude via bijvoorbeeld phishing. Bibliotheek Rotterdam heeft ook aangifte bij de politie gedaan, zodat de datadiefstal onderzocht wordt. Deze stappen helpen om imagoschade te beperken en de continuïteit van de organisatie te waarborgen.

Naast een meldplicht hebben organisaties ook een protocolplicht. De protocolplicht houdt in dat organisaties een overzicht moeten bijhouden van alle beveiligingsincidenten die zijn ontdekt. Dit wordt het incident register genoemd. Hier staan dus zowel beveiligingsincidenten als datalekken in. Let hierbij op dat het ook aangegeven is of een datalek is gemeld aan de Autoriteit Persoonsgegevens en/of betrokken personen.

Hoe kunt u een datalek voorkomen?

Communication is key. Datalekken kunnen uit iedere hoek komen en het is van belang om bij het begin te beginnen. Train uw personeel, want dit gaat verder dan alleen de Legal of IT afdeling. Het is de taak van de hele organisatie om de bedrijfsvoering te beschermen en criminelen buiten de deur te houden.

De communicatie afdeling kan hierbij ondersteunen om voor een goede informatievoorziening te zorgen zowel intern als extern. Sterke communicatie kan het consumenten vertrouwen en de bedrijfsreputatie maken of breken.

DMCC adviseert om de volgende 5 stappen te ondernemen om datalekken te beperken:

  • Train personeel regelmatig op privacy & security vlak
    • Gebruik meerdere training methodes zoals workshops, e-learnings en oefenen met praktijk casussen
    • Verstuur regelmatig privacy blogs of stel een korte hacking serie ter beschikking
    • Verstuur zelf neppe phishing e-mails naar uw medewerkers
  • Beveilig apparaten zoals laptops en mobiele telefoons
    • Gebruik een wachtwoordmanagement
    • Gebruik twee-factorauthenticatie
    • Versleutel de harde schijf en blokkeer opslaan op externe opslagmedia zoals USB’s
    • Zorg dat updates automatisch worden geïnstalleerd
  • Schoon bestanden en e-mails regelmatig op
    • Verwijder standaard Outlook e-mails binnen een jaar
    • Denk ook aan het opschonen van het bureaublad, download map en prullenbak
    • Schoon het adresbestand op
  • Ga bewust om met het versturen van e-mails
    • Zet BCC standaard aan
    • Type geen e-mailadressen over, maar gebruik het adresboek of de kopieer functie
    • Gebruik een 4-ogen principe wanneer er gevoelige informatie wordt gedeeld
  • Onderscheid werk van privé
    • Gebruik geen WhatsApp om gevoelige informatie te delen
    • Vermijd openbare netwerken en heb een gast netwerk op kantoor
    • Stel een protocol voor thuiswerken op

Toch last van een datalek?

Mocht er toch een datalek voorkomen onderneem de juiste stappen en informeer in sommige gevallen de betrokken personen. Het datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens via deze link. Deze moet wel binnen 72 uur, na ontdekking, gemeld worden. Wees gerust, een ingevulde melding kan in een later stadium nog gewijzigd, aangevuld of ingetrokken worden.

Zorg ervoor dat de datalekmelding concreet, volledig en duidelijk is. Vermeld het volgende:

  • Wie de interne contactpersoon is binnen de organisatie voor de Autoriteit Persoonsgegevens
  • Wat de omvang van het datalek is
  • Welk type persoonsgegevens er bij het datalek betrokken zijn
  • Wat de aard van de inbreuk is
  • Welke gevolgen het datalek kan hebben voor de betrokkenen
  • Wat de vervolgacties zijn (geweest) naar aanleiding van het datalek
  • Of de betrokkenen zijn (of worden) geïnformeerd en hoe
  • Als betrokkenen niet worden geïnformeerd, waarom niet
  • Welke technische beveiligingsmaatregelen van kracht waren toen het lek ontstond

Waar kunt u terecht?

Er zijn vele manieren om datalekken te beperken en het reguleren van solide privacy compliance. De eerste stappen worden in dit artikel benoemd om datalekken te beperken en deze op de juiste manier bij de Autoriteit Persoonsgegevens te melden. DMCC adviseert organisaties rondom privacy vraagstukken.

Mocht u vragen hebben of ondersteuning wensen bij privacy compliance, neem dan contact met ons op!

Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.

DMCC Group - Mieke Lamers
Mieke Lamers
Privacy consultant & auditor DMCC
 E-mail