Je weet het zeker. Er is een datalek. Iemand heeft zijn USB stick verloren. Of er is malware gedetecteerd op het netwerk. Een hack! Wat moet je nu doen? Waar begin je? Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is er nogal wat te doen omtrent het beschermen van de privacy van je klanten, opdrachtgevers, en personeel. In het verlengde van de AVG komt het woord “datalek” ook direct om de hoek kijken. Maar wat is nu precies een datalek en wanneer wordt het spannend?

Een datalek. Wat is dat?

Volgens de Autoriteit Persoonsgegevens is dit een datalek:

“Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.” – Bron: Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken)

Dit betekent dus dat niet alleen bij een hack data kan vrijkomen maar ook wanneer je een telefoon met contacten (en mail, cv’s, verslagen, etc. etc. etc.) verliest, gevoelige informatie verstuurt naar een foutief e-mailadres of wanneer iemand fysiek toegang verschaft tot je computer en aan de haal gaat met de data. Een datalek kan dus op veel manier voorkomen.

Stap voor stap

Zorg dat je de juist stappen onderneemt. Een datalek is natuurlijk vervelend genoeg en ja het kan behoorlijk in de papieren gaan lopen als je niets doet of gedaan hebt. Iedereen kent inmiddels wel de schrikbarend hoge bedragen (tot 20 miljoen euro of 4% van de totale wereldwijde omzet). Met het hebben van een juist plan kun je beter handelen als je een datalek hebt.

Dus wat moet je doen bij een datalek?

  1. Zorg dat je weet of je een datalek hebt. Als dat zo is moet je zorgen dat de juiste mensen inlicht over dit lek.
  2. Wat voor soort incident is het geweest? Malware? Een hack? Verlies van een stick?
  3. Wat stond er op de drager? Wat voor soort lek is het? Zijn het persoonsgegevens? En zo ja, waren deze bijzonder?
  4. Moet je het melden bij de Autoriteit Persoonsgegevens?
  5. En moet ik het melden bij de betrokkene (degene van wie je de data hebt gekregen)?

Dat alles moet je in 72 uur na het ontdekken van het lek gedaan hebben. Op het moment dat je een datalek ontdekt en je hebt geen plan en niemand weet wat ze moeten doen heb je een probleem. Dan ben je te laat. Zorgen dat je op tijd ben is dus noodzakelijk.

En als je dan toch bezig bent met het maken van een plan: denk je dan ook na hoe je dit allemaal gaat communiceren? Communiceren met de betrokkenen maar ook intern in de organisatie is van belang.

Maak een plan. Denk vooruit. Het is zo 25 mei.