Wat te doen bij een datalek?

Een datalek zit in een klein hoekje, het kan iedere ondernemer gebeuren. Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. En dat dit vaak voorkomt blijkt wel uit de cijfers. In 2018 ontving de Autoriteit Persoonsgegevens maar liefst 20.881 meldingen van datalekken. Een recordaantal, want het jaar ervoor werden er ‘slechts’ 10.009 datalekken gemeld bij de toezichthouder. Het meest voorkomende type datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Bijvoorbeeld wanneer een e-mail met daarin persoonsgegevens door een typefout of door het selecteren van een verkeerde geadresseerde wordt verzonden naar een verkeerde ontvanger. Wat te doen bij een datalek? Wanneer er onverhoopt een datalek plaatsvindt is het belangrijk dat je snel handelt. Zo beperk je niet alleen de schade voor de betrokken personen, maar ook voor je eigen bedrijf. De Autoriteit Persoonsgegevens geeft ondernemers via de campagnepagina hulpbijprivacy.nl praktische tips bij de naleving van de privacywet. Privacy-expert Privacy Zeker zet de belangrijkste tips over wat te doen bij een datalek op een rijtje. Stap 1: Overzicht Maak zo snel mogelijk een overzicht van de situatie. Ga na wat er precies is gebeurd, welke persoonsgegevens er zijn gelekt, wat de omvang van het datalek is en welke personen er mogelijk toegang hebben gehad tot deze data. Mede op basis hiervan kan je bepalen wat de vervolgacties kunnen zijn. Stap 2: Neem maatregelen Nu heb je het overzicht. Ga vervolgens direct aan de slag met maatregelen om ergere schade te voorkomen. Denk bijvoorbeeld aan het op afstand wissen van een laptop, het offline halen van een bestand of het vragen aan de verkeerde ontvanger of hij de brief of e-mail wil verwijderen. Stap 3: Melden of niet melden bij Autoriteit Persoonsgegevens Nu ga je bepalen of je het datalek wel of niet moet melden. Dat hangt af van de situatie. Een belangrijke indicator is wat de gevolgen zijn van het lek en hoe ernstig het risico is voor de betrokkenen. Door gelekte gegevens kunnen mensen mogelijk worden uitgesloten of gediscrimineerd of kunnen hun gegevens worden gebruikt voor identiteitsfraude. Een aantal voorbeeldsituaties vind je op de website van de Autoriteit Persoonsgegevens. Kijk hiernaar en bepaal of je het datalek moet melden. Stap 4: Melden aan betrokkenen Als je hebt bepaald dat je het datalek aan de Autoriteit Persoonsgegevens moet melden moet je het misschien ook aan de betrokkenen melden. In sommige gevallen ben je dat verplicht. Het is belangrijk om aan de betrokkenen te melden zodat ze zelf actie kunnen ondernemen. Bijvoorbeeld door het wijzigen van een wachtwoord. Stap 5: Registreer in datalekregister Registreer elk datalek in een datalekregister. Neem hier in op om welk datalek het gaat. Wat de oorzaak, gevolgen en maatregelen zijn geweest die je hebt getroffen. Let op: alle datalekken moeten worden opgenomen in een register, registreer dus ook datalekken die niet gemeld hoeven te worden bij de Autoriteit Persoonsgegevens. Over Privacy Zeker Deze gastblog is geschreven door Privacy Zeker. Om verenigingen én hun leden te ondersteunen is MOS bv een samenwerking aangegaan met AVG-specialist Privacy Zeker. Privacy Zeker treedt op als AVG-kennispartner voor MOS en de verenigingen waar MOS voor werkt. Daarnaast krijgen leden van betreffende verenigingen korting op de AVG-dienstverlening en gratis toegang tot Privacy Zeker Start, het AVG-startpakket met onder andere privacy e-learning en een datalekregister. Meer informatie over Privacy Zeker vind je op de website.