info@pellicaan.nl
NLEN

datalekken

Een datalek kan elke organisatie overkomen. Of het nu gaat om een gestolen laptop, een verkeerd verstuurde e-mail of een gerichte cyberaanval: persoonsgegevens liggen sneller op straat dan je denkt. De gevolgen kunnen ernstig zijn – van identiteitsfraude en reputatieschade tot verlies van vertrouwen bij klanten, medewerkers en samenwerkingspartners.

Weet jij wat je moet doen bij een datalek? Hoe je je organisatie goed voorbereidt én voldoet aan de wettelijke verplichtingen? Of hoe je de kans op een datalek zoveel mogelijk verkleint? Pellicaan Advocaten staat naast je bij elke stap. Van het opstellen van een datalekprotocol en het beoordelen van incidenten tot het melden bij de Autoriteit Persoonsgegevens en het zorgvuldig informeren van betrokkenen.

 

Neem contact opOver Pellicaan Advocaten

 

Ik heb een vraag over:

  • Wat is een datalek? 
  • Hoe kun je een datalek voorkomen en je er goed op voorbereiden?
  • Wat moet je doen bij een (mogelijk) datalek? 
  • Wat is een incidentenregister, en is het verplicht?
  • Wat Pellicaan Advocaten voor mij kan betekenen

 

Wat is een datalek? 

Een datalek is een beveiligingsincident waarbij persoonsgegevens per ongeluk of opzettelijk verloren gaan, worden aangepast, gedeeld of ingezien door iemand die daar geen recht op heeft. 

Bij een datalek kan veel verschillende informatie betrokken zijn. Zowel vertrouwelijke bedrijfsinformatie als persoonsgegevens van bijvoorbeeld medewerkers, klanten of andere relaties. Waar het gaat om persoonsgegevens, oftewel: informatie die direct over iemand gaat (zoals een naam of BSN) of gegevens die samen naar iemand te herleiden zijn (zoals een e-mailadres en een geboortedatum), kan een datalek leiden tot verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG).

Voorbeelden van een datalek:

  • Een e-mail met persoonsgegevens wordt naar de verkeerde ontvanger gestuurd
  • Een onbevoegde medewerkers bekijkt een medisch dossier
  • Een laptop met personeelsgegevens wordt gestolen uit een auto
  • Bij een cyberaanval komen persoonsgegevens in handen van onbevoegden
  • Door ransomware zijn persoonsgegevens vergrendeld of onbruikbaar geworden

Hoe kun je een datalek voorkomen en je er goed op voorbereiden?

Een datalek kun je nooit helemaal voorkomen, maar je kunt de risico’s wel flink verkleinen. Dat begint met het nemen van beveiligingsmaatregelen die passen bij jouw organisatie en de aard en omvang van de (persoons)gegevens die je verwerkt. Denk aan maatregelen zoals; goede wachtwoorden, twee factor authenticatie, toegangscontrole, versleuteling van gevoelige bestanden, back-ups, en bewustwording onder medewerkers.

Risicoanalyse en beveiligingsplan

Aan de hand van een risicoanalyse bepaal je wat er nodig is voor jouw bedrijf: welke gegevens verwerk je precies, en waar zitten de kwetsbaarheden? Op basis daarvan stel je een beveiligingsplan op. Hierin leg je vast welke technische en organisatorische maatregelen je neemt om persoonsgegevens te beschermen. Het inschakelen van een cybersecurity-specialist kan daarbij raadzaam zijn. 

Werkproces voor datalekken

Een goed beveiligingsplan is essentieel, maar minstens zo belangrijk is een goede voorbereiding op het moment dat er wél iets misgaat. Zorg dat je een duidelijk werkproces hebt klaarliggen, zodat iedereen in je organisatie weet wat te doen bij een (mogelijk) datalek. Train medewerkers in het herkennen van signalen, zoals verdachte e-mails of onverwachte systeemfouten, en maak melden laagdrempelig.

Wat moet je doen bij een (mogelijk) datalek? 

Als je een datalek vermoedt of ontdekt, is het belangrijk dat je snel en gestructureerd handelt. Begin met het betrekken van de juiste professionals en het samen in kaart brengen van wat er precies is gebeurd. Om welke gegevens gaat het, hoe is het datalek ontstaan en wie heeft er toegang gehad? Dit helpt je om de aard en omvang van het incident te beoordelen.

Daarna neem je maatregelen om het datalek zo snel mogelijk te stoppen en verdere schade te beperken. Schakel indien nodig een IT-specialist of cybersecurity-expert in, en organiseer een crisisoverleg met de juiste mensen binnen je organisatie. Samen bespreek je het stappenplan en bepaal je wat de impact is, zowel intern als extern.

Vervolgens beoordeel je of je het datalek moet melden bij de Autoriteit Persoonsgegevens (AP), en mogelijk ook aan de betrokkenen. 

Wanneer moet je een datalek melden bij de Autoriteit Persoonsgegevens?

Of je een datalek moet melden bij de AP, hangt af van het risico dat het lek oplevert voor de personen van wie gegevens zijn gelekt. De hoofdregel vanuit de AVG is: je bent verplicht een datalek te melden, tenzij het onwaarschijnlijk is dat het incident een risico vormt voor de rechten en vrijheden van betrokkenen. Denk aan risico’s voor hun privacy, veiligheid of reputatie.

Lees hier meer over AVG-compliance en hoe Pellicaan Advocaten je hierbij kan ondersteunen

Risico-inschatting maken

Bij die risico-inschatting kijk je altijd naar de omstandigheden van het incident. Belangrijke factoren zijn bijvoorbeeld de aard en gevoeligheid van de gegevens (zoals medische dossiers of identiteitsgegevens), het aantal betrokken personen en hoe eenvoudig zij te identificeren zijn.

Gaat het bijvoorbeeld om een gestolen medisch dossier of een hack waarbij persoonsgegevens zijn buitgemaakt? Dan is een melding bij de AP vrijwel altijd verplicht. 

Of een datalek nu wel of niet gemeld moet worden, je legt deze altijd vast in het verplicht bij te houden datalekregister van je organisatie. De toezichthouder, de Autoriteit Persoonsgegevens (‘AP’), zal bij een controle dit register opvragen om te controleren hoe je met het al dan niet melden van datalekken omgegaan bent. 

Datalekprotocol opstellen

Onze experts helpen je graag bij het opstellen van een datalekprotocol of een uitgebreider incident response plan. Daarmee kun je in de toekomst goed beoordelen wanneer melding nodig is en welke stappen je moet volgen. Is er al sprake van een datalek? Dan staan wij klaar om je te ondersteunen bij de risico-inschatting én bij het opstellen van een correcte en tijdige melding aan de AP.

Hoe snel moet je een datalek melden bij de Autoriteit Persoonsgegevens?

Als je een datalek moet melden bij de AP, dan moet dat binnen 72 uur nadat je het hebt ontdekt. Die 72 uur gaan in vanaf het moment dat je redelijkerwijs kunt vaststellen dat er sprake is van een beveiligingsincident waarbij persoonsgegevens zijn betrokken. Dus: niet vanaf het moment van het lek zelf, maar vanaf het moment dat jij of je organisatie er kennis van heeft genomen.

Wacht dus niet te lang met handelen. Is nog niet alles duidelijk, bijvoorbeeld omdat het een complexe inbreuk betreft? Dan kun je de melding later aanvullen of corrigeren. Maar zorg er in ieder geval voor dat je binnen 72 uur na kennisname laat weten dat er iets aan de hand is.

De verantwoordelijkheid voor tijdig melden ligt bij jouw organisatie als je de verantwoordelijke (in de zin van de AVG) bent voor de gegevensverwerking. De verantwoordelijke is de partij die bepaald heeft voor welke doelen en met welke middelen de persoonsgegevens verwerkt worden.

Het is daarom belangrijk dat medewerkers weten hoe ze een (mogelijk) datalek intern moeten melden en bij wie ze terecht kunnen. Een goed datalekprotocol helpt hierbij: het legt vast wie welke stappen moet nemen, zodat je snel en correct kunt handelen als het erop aankomt.

Welke informatie heeft de Autoriteit Persoonsgegevens nodig?

Als je een datalek meldt bij de AP, moet je een aantal verplichte onderdelen aanleveren. De AP wil een helder beeld krijgen van wat er is gebeurd en hoe jouw organisatie daarmee omgaat. 

Tip: neem de vragenlijst van het meldformulier datalekken op de website van de Autoriteit Persoonsgegevens  alvast eens door zodat je bekend bent met de vragen op het meldformulier. Zo weet je precies welke informatie je moet verzamelen voor het doen van de melding. Let op! Vul alleen fictieve informatie in, want de informatie wordt bij het doorklikken van de verschillende onderdelen van de vragenlijst gedeeld met de AP.

Wanneer moet je ook de betrokkenen informeren?

Is het risico van een datalek hoog voor de mensen van wie de gegevens zijn gelekt? Dan ben je verplicht om hen zo snel mogelijk te informeren. Niet alleen om te voldoen aan de wet, maar vooral zodat zij actie kunnen ondernemen om zichzelf te beschermen. Denk aan het veranderen van wachtwoorden en het alert zijn op phishing.

Waarschuwingsbericht opstellen

Je waarschuwt de betrokkenen met een helder bericht, bijvoorbeeld per e-mail. In dat bericht leg je uit:

  • wat er is gebeurd
  • welke gegevens zijn gelekt
  • wat de mogelijke gevolgen zijn
  • en wat iemand zelf kan doen om de risico’s te beperken

Het is jouw verantwoordelijkheid om dat bericht goed op te stellen én aan te passen aan de situatie. Een vaag of onvolledig bericht kan leiden tot verwarring, klachten of reputatieschade. 

Onze experts staan voor je klaar om een duidelijk en zorgvuldig waarschuwingsbericht op te stellen. We denken met je mee over wat je communiceert, hoe je dat doet en zorgen dat je voldoet aan je wettelijke verplichtingen. Zo verklein je de impact voor je organisatie én voor de mensen die getroffen zijn.

Pellicaan Advocaten: jouw partner bij vraagstukken rondom datalekken

Een datalek kan grote gevolgen hebben voor je organisatie, je klanten én je reputatie. Pellicaan Advocaten staat voor je klaar met praktische, juridische ondersteuning bij elk onderdeel van het proces. Samen zorgen we ervoor dat je grip houdt op de situatie en de schade zoveel mogelijk beperkt.

Wij helpen bij:

  • Het opstellen van een datalekprotocol, zodat je als organisaties precies weet welke stappen je moet volgen bij incidenten waarbij persoonsgegevens betrokken zijn. Aan de hand van dit protocol ben je zelf in staat om te beoordelen of een incident al dan niet gemeld moet worden.
  • Het opstellen van incident response plan, een gestructureerd draaiboek dat je helpt te reageren op grotere incidenten zoals hacks of ransomware aanvallen en waarin acties, taken en samenwerking vanuit verschillende disciplines beschreven is en (idealiter ook) getest wordt. Op die manier ben je goed voorbereid op complexe incidenten. 
  • Het beoordelen van incidenten, zodra die zich voordoen. We helpen je snel vast te stellen of het om een datalek gaat en wat de vervolgstappen zijn.
  • Het inschatten van de juiste meldplicht, zodat je weet of alleen de AP geïnformeerd moet worden, of dat je ook de betrokken personen op de hoogte moet stellen.
  • Het opstellen van meldingen aan de Autoriteit Persoonsgegevens en betrokkenen, als dat nodig is. Wij zorgen dat de melding inhoudelijk klopt en zorgvuldig geformuleerd is. In de juiste toon, met oog voor zowel de juridische eisen als de reputatie van het bedrijf.
  • Het in kaart brengen van de impact van een datalek op je bedrijfsvoering, zeker als het incident groter is (zoals bij een grote hack). We bekijken wat dit betekent voor je verplichtingen richting klanten en leveranciers, en adviseren je over de juiste aanpak.
  • Het beperken van risico’s en reputatieschade, terwijl je altijd volledig voldoet aan de AVG. Zo sta je sterk - zowel juridisch als in communicatie.

Zit je met een ander privacyvraagstuk? We denken graag met je mee tijdens een vrijblijvend gesprek. Of lees wat we nog meer voor je kunnen betekenen op het gebied van privacy.

Neem contact op voor een vrijblijvend gesprek

Ben je benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem dan contact met ons op voor een vrijblijvend gesprek. We luisteren naar jouw situatie en denken graag met je mee over de beste aanpak. 

Neem contact op

 

Terug naar expertise Privacy & IT-recht

Onze specialisten

Elif Barioglu, RotterdamCaro Mennen, AmsterdamXander Alders, RotterdamLisanne Wigboldus, Amsterdam

DisclaimerAlgemene voorwaardenPrivacystatement

Enflow