Datalekken, wat leren we ervan?

20.881 datalekken zijn er in 2018 aan de Autoriteit Persoonsgegevens gemeld. Vooral vanuit de sectoren gezondheid en welzijn, financiële en zakelijke dienstverlening, IT-sector en openbaar bestuur. Wat kunnen we ervan leren?

De meest voorkomende type datalekken betroffen:

Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Dit kan bijvoorbeeld een e-mail zijn met persoonsgegevens die naar een verkeerde persoon wordt gestuurd.
Het kwijtraken van papieren of de diefstal van een gegevensdrager, zoals een laptop of usb-stick.
Verlies van gegevens door hacking, phishing (nepmails met een virus) of malware (software die wordt gebruikt om computersystemen te verstoren).

Nieuwsbrief items

Gegevens datalek

De soorten persoonsgegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens (naam, adres, woonplaats), BSN- en medische gegevens

Wat kun je doen?

Belangrijke zaken die je binnen jouw organisatie op moet pakken, zijn:

Blijf aandacht geven aan het vergroten van het bewustzijn bij jouw medewerkers met betrekking tot het verwerken van persoonsgegevens en de risico’s die gepaard gaan met de verwerking ervan.
Mocht het dan een keer fout gaan, zorg dan dat medewerkers het beveiligingsincident/datalek ook daadwerkelijk melden bij de intern verantwoordelijke hiervoor. Wat je moet voorkomen, is dat je aangeschreven word door de AP over een datalek binnen jouw organisatie waar je zelf geen weet van hebt.
Zorg dat er een interne procedure is voor het omgaan met datalekken, zodat je precies weet wat je moet doen bij een datalek. Er loopt bijvoorbeeld een maximale aanmeldtermijn van 72 uur.
Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze periodiek en beoordeel wat je op basis hiervan kunt verbeteren binnen jouw bedrijf.

Wat schrijft de AVG voor?

De AVG schrijft voor dat jouw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, datalekken dus, moet melden bij de AP. In sommige situaties dien je ook de betrokkenen (bijvoorbeeld de klanten of werknemers) te informeren.

Wat is een datalek?

Een datalek wordt omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Wat moet je doen bij een datalek?

Enkele verplichtingen nog even op een rij:

Indien een datalek heeft plaatsgevonden, moet je deze uiterlijk 72 uur nadat je er kennis van heeft genomen, melden bij de AP. Hiervoor moet je het digitale meldingsformulier op de website van de AP gebruiken.
Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In andere bewoordingen houdt dit in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.
Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dien je de betrokkene(n) onverwijld te informeren. Dit hoeft niet als je de persoonsgegevens onbegrijpelijk hebt gemaakt, zoals door versleuteling van gegevens.
Een (sub)verwerker, zoals een leverancier of serviceprovider, moet je, omdat je verantwoordelijk bent, onverwijld informeren zodra hij kennis heeft genomen van een datalek, zodat je nog de gelegenheid hebt tijdig de AP te informeren.
Je dient alle datalekken – met inbegrip van de feiten over de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen – te documenteren. Dit betreft zowel datalekken die je niet hebt gemeld aan de AP als datalekken die je wel hebt gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister.