Een datalekkenprotocol: waarom is dat belangrijk?
Een datalek is helaas nooit 100% te voorkomen. Het is dus belangrijk om daar op voorbereid te zijn. Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je zeker dat je alle benodigde informatie verzamelt, voorkom je dat je in paniek mogelijk verkeerde keuzes maakt en beperk je de schade. Houd je hoofd koel, en volg de stappen in je datalekkenprotocol.
Wat is een datalek?
Bij een datalek gaat het om de ongeoorloofde of onbedoelde toegang tot persoonsgegevens. En ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. De term komt niet voor in de Avg. Daar gaat het over een ‘inbreuk in verband met persoonsgegevens’. Wil je meer informatie over datalekken, bijvoorbeeld over wie welke verplichtingen heeft bij een datalek, zie dan ook ons artikel over datalekken.
Voorbeeld datalekkenprotocol van NLdigital
NLdigital heeft een voorbeeld datalekkenprotocol beschikbaar. Leden van NLdigital kunnen het datalekkenprotocol gratis downloaden.
Het voorbeeld datalekkenprotocol is te gebruiken voor verwerkingsverantwoordelijken en voor verwerkers, en is bedoeld voor intern gebruik. Het document bestaat uit drie onderdelen: een invulinstructie hoe je het datalekkenprotocol geschikt maakt voor je organisatie, het daadwerkelijke datalekkenprotocol, en een bijlage die je moet invullen wanneer een datalek zich heeft voorgedaan.
De invulinstructie gebruik je om, vóórdat een incident zich voordoet, het protocol toe te spitsen op jouw organisatie. Vervolgens moet je het datalekkenprotocol verspreiden in je organisatie. Als er dan een datalek plaatsvindt, is het duidelijk wie wat moet doen. De bijlage bij het protocol kan je vervolgens als verwerkingsverantwoordelijke gebruiken ter ondersteuning van het doen van een melding van een datalek aan de AP en/of betrokkenen wanneer er zich een datalek heeft voorgedaan. Als verwerker kan je de bijlage gebruiken bij het ondersteunen van je klant(en) na een datalek (en zo voldoen aan je informatieplicht).
AP en datalekken
De AP ziet datalekken als een hardnekkig probleem. Gezien de omvang van het aantal meldingen over datalekken dat de AP binnenkrijgt, kijkt de AP naar verschillende factoren die een risico kunnen vormen. Deze vooraf bepaalde risicofactoren zijn:
- Betrokkenen zijn niet geïnformeerd.
- Er is sprake van een cyberaanval (ook bij verwerkers).
- Er zijn onvoldoende beveiligingsmaatregelen getroffen.
- Datalekken worden niet gemeld.
- Signalen van een verwerker, of analyse van het mogelijke klantbestand van een verwerker waar het datalek heeft plaatsgevonden.
- De aanwezigheid van bijzondere persoonsgegevens.
Met het voorbeeld datalekkenprotocol van NLdigital ondervang je deze risicofactoren grotendeels. Ook kijkt de AP naar klachten die ze binnenkrijgen, burgersignalen, mediasignalen en signalen van andere toezichthouders.
De AP heeft daarnaast het belang benadrukt van de communicatie tussen de verwerker en de verwerkingsverantwoordelijke, en kan de verwerkers daarnaast actief betrekken bij het toezicht. Het is dus belangrijk dat je als verwerker aan je informatieplicht ten opzichte van de verwerkingsverantwoordelijke voldoet. De eventuele verplichting tot het melden van een datalek aan de AP blijft echter een verantwoordelijkheid van de verwerkingsverantwoordelijke.
Meer weten?
Wil je meer weten over datalekken of het datalekkenprotocol? Neem dan contact op met de juristen van NLdigital.