Datalek: wat is het en hoe kun je het voorkomen?
Heel vervelend, je hebt een datalek: en nu? Onze juridisch adviseur Henk Bethlehem vertelt je welke acties je moet nemen in het geval van een datalek en hoe je het kunt voorkomen. We hebben veelgestelde vragen en antwoorden over datalekken voor je op een rij gezet:
Wat is een datalek?
Bij een datalek gaat het om de ongeoorloofde of onbedoelde toegang tot persoonsgegevens. En ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. De term komt niet voor in de Avg. Daar gaat het over een ‘inbreuk in verband met persoonsgegevens’.
Wat zijn voorbeelden van datalekken?
Voorbeelden van datalekken zijn:
- Je bent een USB-stick verloren met daarop niet-versleutelde gegevens.
- Een ransomware-aanval kan ook een datalek zijn als je niet meer bij de gegevens kunt, of als een ander ze (mogelijk) heeft buitgemaakt.
- Je laptop is gestolen met daarop niet versleutelde gegevens.
Welke acties kan ik nemen in het geval van een datalek?
Is er sprake van een datalek, zorg dan allereerst voor overzicht. Analyseer de situatie en kijk wat je kunt doen om verdere schade te voorkomen. Kijk bijvoorbeeld wie toegang tot de informatie heeft gehad. En of je gegevens op afstand kunt wissen. Doe dit aan de hand van een datalekkenprotocol (we hebben een voorbeeld hiervan beschikbaar. Wil je meer weten, kijk dan hier). Met een datalekkenprotocol weet je personeel wat ze moeten doen bij een incident.
Wat je moet doen bij een datalek is afhankelijk van je rol: ben je een verwerkingsverantwoordelijke of verwerker?
Ben je verwerkingsverantwoordelijke? Neem dan het datalek op in je datalekkenregister. En ga vervolgens na of je het datalek bij de Autoriteit Persoonsgegevens (AP) en eventueel de betrokkene moet melden. Dat kun je doen met behulp van deze Guidelines en/of de informatie op de website van de AP.
Ben je verwerker? Dan moet je je klant (de verwerkingsverantwoordelijke) op de hoogte stellen van het lek. Ook moet je hem helpen om aan zijn verplichtingen te voldoen. Door bijvoorbeeld alle benodigde informatie door te sturen. Let op: als verwerker hoef je niet te bepalen of het datalek aan de AP en/of aan betrokkenen gemeld moet worden.
Wie heeft welke verplichtingen bij een datalek?
Verwerkingsverantwoordelijke | Verwerker |
---|---|
De verwerkingsverantwoordelijke moet een register bijhouden van alle ‘inbreuken in verband met persoonsgegevens’ (ook/juist de datalekken die je niet hebt gemeld aan de Autoriteit Persoonsgegevens). | De verwerker is verplicht om iedere inbreuk in verband met persoonsgegevens zonder onredelijke vertraging te melden aan de verwerkingsverantwoordelijke. |
De verwerkingsverantwoordelijke moet bepaalde ‘inbreuken in verband met persoonsgegevens’ melden aan de Autoriteit Persoonsgegevens en/of aan de personen wiens persoonsgegevens het betreft (betrokkenen). | De verwerker moet de verwerkingsverantwoordelijke helpen, zover hij kan, bij het voldoen aan de op de verwerkingsverantwoordelijke rustende verplichtingen (bijvoorbeeld door het aanleveren van informatie). |
Moet ik elk datalek melden en hoeveel tijd heb ik om dat te doen?
Als verwerkingsverantwoordelijke hoef je niet elk datalek te melden bij de AP. Alleen als het datalek leidt tot een risico voor rechten en vrijheden van betrokkenen. Je hebt daar 72 uur voor. Als verwerker hoef je nooit de melding aan de AP te doen. Dat is aan je klant (de verwerkingsverantwoordelijke).
Hoe kan ik de risico’s van een datalek bepalen?
Bepaal het risico door onder andere de volgende zaken na te gaan:
- de aard van de inbreuk;
- de aard, gevoeligheid en omvang van de persoonsgegevens;
- de ernst van de gevolgen voor personen;
- het aantal getroffen personen.
Wie meldt een datalek bij de AP (en eventueel de betrokkene)?
Dat doet de verwerkingsverantwoordelijke zelf. Waarbij de verwerker ondersteuning kan bieden door informatie aan te leveren, als die bekend is. Vandaar ook de 24-uurs of 48-uurs termijn die partijen in een verwerkersovereenkomst afspreken.
Hoe kan ik een datalek voorkomen?
Een datalek is niet altijd te voorkomen. Maar wat je wel in de hand hebt, is dat je zorgt voor een goede informatiebeveiliging, met toegangscontrole en encryptie. Ook kun je door middel van dataminimalisatie een datalek voorkomen. Wat je niet hebt verzameld, kun je tenslotte ook niet onbedoeld vrijgeven. En dat geldt ook voor het opschonen van je systemen. Wat je niet meer nodig hebt, kun je verwijderen. Het opleiden van medewerkers is ook van belang. Als men herkent dat ze niet op bepaalde e-mails moeten klikken of reageren, kun je soms een datalek voorkomen. En tot slot kun je er ook voor zorgen dat je voorbereid bent. Bijvoorbeeld door iemand op afstand beschikbaar te hebben die een wachtwoord of apparaat kan resetten.
Moet ik datalekken ook bijhouden in een register?
Jazeker. Zowel datalekken die je meldt, als die je niet meldt, moet je bijhouden in een register voor datalekken. Daarin neem je op wat er is gebeurd, wanneer dat is gebeurd, op welke datum en hoe laat je dat hebt ontdekt, om wat voor datalek het gaat, hoeveel personen het betreft, wat het geschatte gevolg is voor de betrokkenen, of je het datalek binnen 72 uur hebt gemeld bij de AP en de betrokkene, en zo niet, waarom niet. Tot slot moet je nog noemen welke maatregelen je hebt genomen om datalekken in de toekomst te voorkomen.
Moet ik een protocol hebben voor het melden van datalekken?
Jazeker. Dat is van belang om te hebben, zodat je personeel weet wat ze moeten doen in het geval dat er zich een incident voordoet. Hier lees je meer over ons voorbeeld datalekkenprotocol.
Moet ik afspraken maken met mijn klant of leverancier over datalekken?
Ja. De verwerkingsverantwoordelijke (klant) en de verwerker (leverancier) zijn verplicht om samen schriftelijke afspraken rondom datalekken te maken in de verwerkersovereenkomst. Heb je nog geen verwerkersovereenkomst? Lees er hier meer over en/of bestel of download onze voorbeeld verwerkersovereenkomst.
Meer informatie?
Voor meer informatie over datalekken zie de website van de AP over datalekken en de richtlijnen 9/2022 ‘on personal data breach notification under GDPR’ van de EPDB.