Recente datalekken bij NS, CZ, Vodafone en Vrienden van Amstel (artikel Telegraaf 30 maart 2023) maken bewust van het bestaan van datalekken. Talloze cyberaanvallen sinds de oorlog in Oekraïne maken de kans op een datalek groter dan ooit. De vraag is dan ook: wanneer is er sprake van een datalek, wat moet ik doen bij een datalek?
Andere vragen: komt een datalek altijd door bewuste actie van buiten en ben ik altijd verantwoordelijk voor het gegevenslek? De antwoorden op die vragen kunnen verrassend zijn. Neemt niet weg dat een datalek altijd vraagt om onmiddellijke en concrete actie. Zorg dus voor een protocol en procedure om die acties snel en betrouwbaar op te starten, met zekerheid beperk je hiermee de schade.
Wat is een datalek eigenlijk?
Van een datalek is sprake bij toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Bedrijven en overheden zijn wettelijk verplicht om een datalek direct te melden bij de Autoriteit Persoonsgegevens. Melden kan via de vragenlijst meldformulier datalekken (questionnaire personal data breach notification form).
Het bekende gegeven van een externe hack op systemen is het meest voor de hand liggende voorbeeld, maar een datalek is ook al een feit wanneer een e-mail onjuist wordt verstuurd en er in deze e-mail persoonsgegevens staan. Het kan ook minder spectaculair: een vergeten (medisch) dossier in de trein, een kwijtgeraakte USB stick, een verloren postpakket, informatie die vernietigd had moeten worden valt onverwacht uit het vernietigingsproces.
Een datalek is er sneller dan je denkt, melden is verplicht binnen 72 uur. Stel dus direct vast of er een datalek is en of het gemeld moet worden. Een stappenplan datalekken is hierbij een must. Met een checklist neem je slagvaardig de juiste stappen en beperk je de schade. Weten hoe dat er voor jouw organisatie uit ziet? Neem contact op!