Een datalek kan serieuze gevolgen hebben. Denk bijvoorbeeld aan de ruim 10.000 medische dossiers van een Nederlandse zorginstelling die eenvoudig werden gehackt en konden worden ingezien. Een internationaal taxibedrijf werd in 2016 gehackt waarbij namen, adressen en telefoonnummers van 57 miljoen klanten werden buitgemaakt. Dit soort gevallen komen steeds vaker voor. Welke maatregelen treft u om datalekken te voorkomen? Heeft u een datalekprotocol opgesteld? En weet u hoe u een datalek kunt herkennen?

 

Datalek

Er is sprake van een datalek wanneer er ongeoorloofd of onbedoeld toegang tot persoonsgegevens is geweest bij een organisatie. Wanneer persoonsgegevens onbedoeld zijn vernietigd, verloren, gewijzigd of tijdelijk onbeschikbaar zijn, kan men ook  spreken  van een datalek. In al deze gevallen zijn verwerkingsverantwoordelijken verplicht dit te melden aan de autoriteit persoonsgegevens (AP), tenzij het onwaarschijnlijk is dat de inbreuk een risico voor de privacy inhoudt. Daarnaast is men verplicht het voorval te registreren in een datalekregister als onderdeel van de verantwoordingsplicht.

Er wordt onderscheid gemaakt tussen drie vormen van inbreuk op de privacy. Inbreuk op de vertrouwelijkheid geeft aan dat er onbevoegd of onopzettelijk persoonsgegevens openbaar zijn gemaakt. We spreken van inbreuk op de integriteit wanneer er onbevoegde of onopzettelijke wijziging van persoonsgegevens plaatsvond. Wanneer er verlies van toegang of vernietiging van persoonsgegevens plaatsvond spreken we van een inbreuk op de beschikbaarheid. Het kan natuurlijk voorkomen dat een datalek in meerdere van deze categorieën valt.

 

Meldplicht

Een datalek kan op verschillende manieren voorkomen. Daardoor is het soms lastig een datalek als zodanig te herkennen. Sinds 2016 heeft u een meldplicht als het op datalekken aankomt. Naast de melding bij de AP, kan het ook nodig zijn om de betrokkenen te informeren over het lek. Dat hangt af van de hoogte van het risico voor de privacy van de betrokkenen. Hoe beoordeelt u het risico van een datalek? Heeft u nagedacht over de manier van communiceren? Registreert u ook de motivatie om niet te melden? En kunt u hout snijden uit de guidelines meldplicht datalekken van de AP?

 

Datalek-proof?

De AP adviseert een viertal aandachtspunten om aan de datalekmeldplicht te voldoen: preventie van datalekken, detectie van datalekken, opzet van een datalekprotocol, en een datalekregister. Voor de preventie kunnen technische en organisatorische maatregelen worden getroffen. Voorbeelden van maatregelen vindt u op de website van de AP.

Alhoewel deze maatregelen samen met de richtlijnen voor de meldplicht als een grote juridische jungle kunnen overkomen, valt dit in de praktijk reuze mee. Datalekken zijn niet te onderschatten, maar de voorbeelden uit de media zijn veelal extreme gevallen. Dat neemt niet weg dat de AP heeft aangekondigd in 2019 strenger te zullen handhaven. Een tik op de vingers zal daarom vaker veranderen in een ‘zwaardere maatregel’ zoals een onderzoek of een boete.

De uitrol van een organisatiebreed privacyprogramma draagt bij aan het bewustzijnsniveau van medewerkers en ondersteunt de ontwikkeling van gedegen beleid omtrent privacy en informatiebeveiliging. Helemaal datalek-proof bent u helaas nooit, maar wij helpen u graag op weg! Benieuwd hoe wij dit programma voor u kunnen inrichten? Nodig ons uit voor een vrijblijvend gesprek door te mailen naar koffie@audittrail.nl. We komen graag bij u langs.

Plaats een reactie