Help, een datalek! Wat nu?

Wat is een datalek?

Volgens de Algemene Verordening Gegevensbescherming (AVG) is er sprake van een datalek bij een “inbreuk in verband met persoonsgegevens”. Dit betekent dat persoonsgegevens door een inbreuk op de beveiliging verloren zijn gegaan, zijn gewijzigd of vernietigd of ongeoorloofd zijn ingezien of gedeeld. Dit hoeft niet met kwade bedoelingen te gebeuren: een e-mail waarbij ontvangers per ongeluk in de cc staan in plaats van de bcc, kan al een datalek zijn.

Datalekken kunnen in drie categorieën vallen:

• Inbreuk op de vertrouwelijkheid: persoonsgegevens worden ingezien door of gedeeld met onbevoegden.
• Inbreuk op de integriteit: persoonsgegevens worden ongeoorloofd of onbedoeld gewijzigd.
• Inbreuk op de beschikbaarheid: persoonsgegevens zijn (tijdelijk) niet toegankelijk of worden vernietigd.

Een datalek is vaak een cyberincident, maar niet elk cyberincident is een datalek. Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP), tenzij er geen waarschijnlijk risico is voor de betrokkenen. Betrokkenen hoeven alleen te worden geïnformeerd als er een hoog risico voor hen bestaat. Andere partijen moeten worden geïnformeerd volgens de contractuele afspraken die met hen zijn gemaakt.

Gevolgen

De impact van een datalek kan groot zijn. Denk bijvoorbeeld aan (tijdelijk) onbereikbare diensten of producten, zoals patiëntendossiers, of gevoelige gegevens die openbaar worden, zoals recent het geval was bij het datalek dat plaatsvond bij het laboratorium dat was ingeschakeld voor het bevolkingsonderzoek naar baarmoederhalskanker.

Organisaties kunnen reputatieschade, verlies van klantvertrouwen en hoge herstelkosten ervaren. Betrokken personen lopen risico op identiteitsfraude en reputatieschade. Bij overtreding van de AVG kunnen betrokkenen schadevergoeding eisen en kan de AP boetes opleggen.

Eerste hulp bij datalekken & cyberincidenten

Voorkomen is helaas niet altijd mogelijk. Daarom bieden wij een praktisch stappenplan:

1. Breng de situatie in kaart
2. Bel de verzekeraar
3. Stel een crisisteam samen
4. Neem direct maatregelen
5. Check meldplicht bij het NCSC (binnen 24 uur)
6. Meld een datalek bij de AP (binnen 72 uur)
7. Informeer betrokken personen
8. Onderzoek alternatieve leveranciers of dienstverleners
9. Doe aangifte bij de politie
10. Werk meldingen tijdig bij
11. Leg het incident vast in het interne register
12. Onderzoek of schade te verhalen is
13. Voorkom herhaling

Ga naar het uitgebreide stappenplan in een infographic.

Op zoek naar meer informatie over datalekken of andere cyberincidenten? Neem vrijblijvend contact met ons op.