In 6 stappen een IT strategie opstellen + voorbeeld

Een verloren telefoon, gestolen laptop of een e-mail die bij de verkeerde ontvanger terecht is gekomen. Wat nu? Hoe weet je of er sprake is van een datalek? En wanneer moet je een datalek melden? Doorloop het stappenplan in deze blog en weet wanneer én hoe te handelen.

Heb ik een datalek?

Een gestolen laptop hoeft geen datalek te betekenen. Volgens de AVG is er sprake van een datalek bij inbreuk op de beveiliging van persoonsgegevens. Daaronder valt ook het ongewenst vernietigen, verliezen of wijzigen en verstrekken ervan. 

Enkel persoonsgegevens dus. Stel dat de gestolen laptop andere gevoelige bedrijfsinformatie bevat, dan wordt dit niet gezien als een datalek. Ook al kan de gebeurtenis vervelende consequenties hebben. We zetten de meest voorkomende datalekken op een rij: 

  1. Fouten met post: Brief of postpakket met persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger(s), brief of pakketpost met persoonsgegevens kwijtgeraakt, brief of postpakket met persoonsgegevens geopend retour ontvangen. 
  2. Hacking, malware en/of phishing
  3. E-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s)

Twijfel je of jouw bedrijf te maken heeft met een datalek? Doorloop dit schema en kom erachter of je een datalek moet melden.

heb ik een datalek?

Waarom een datalek melden?

Op grond van de AVG ben je verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) wanneer er een aanzienlijke kans bestaat op nadelige gevolgen. 

Denk bijvoorbeeld aan een cyberaanval. Internetcriminelen hebben een klantendatabase gehackt. Na het betalen van losgeld beloven ze dat klantgegevens niet worden vrijgegeven op het dark web. Hoe zeker is dat? 

Omdat er nog steeds een aanzienlijke kans op nadelige gevolgen bestaat, ben je verplicht om melding te maken van een datalek bij de AP.

Een datalek dien je zo snel mogelijk te melden. Bij voorkeur binnen 72 uur. Dit doe je bij het meldloket van de Autoriteit Persoonsgegevens

Wacht je langer dan 72 uur? Dan ben je waarschijnlijk in overtreding. De AP zal je om een motivatie vragen voor de vertraging. 

Stappenplan: Datalek melden in 5 stappen

Je hebt te maken met een datalek in je bedrijf en wilt melding doen. Waar begin je? Dit praktische datalek stappenplan helpt je gelijk op weg. 

#1 Krijg zo snel mogelijk inzicht

Breng de situatie in kaart. Waar is de datalek ontstaan? Wat is de schade? Om welke persoonsgegevens gaat het? Wie heeft toegang gekregen tot deze gegevens? Het is belangrijk om snel inzicht te krijgen zodat eventuele verdere schade kan worden beperkt.

#2 Tref maatregelen om schade te beperken

Dit is afhankelijk van de situatie. Denk bijvoorbeeld aan het verwijderen van gegevens, de verkeerde ontvanger vragen om gegevens te verwijderen en dat te bevestigen of de getroffen diensten uit te schakelen of te ontkoppelen van het netwerk. Houd alleen systemen online waarvan je zeker weet dat ze veilig zijn. Het belangrijkste is om direct maatregelen te nemen en risico’s in te schatten.

#3 Meld de datalek

Bepaal of de datalek gemeld moet worden aan de AP. Zo ja, vul het meldformulier datalekken in. En doe dit binnen 72 uur. Het is mogelijk dit formulier voorafgaand in te zien om alle benodigde informatie te kunnen verzamelen.  

In sommige gevallen dien je de betrokken partijen te informeren. Maar alleen wanneer er een hoog nadelig risico in de persoonlijke levenssfeer aan verbonden is. Informeer dan zo snel en discreet mogelijk. Vraag indien nodig om hulp.  

#4 Documenteer de datalek

Vanuit de AVG ben je verplicht om alle datalekken binnen je bedrijf vast te leggen. Ook de datalekken waarvan je niet verplicht bent om deze te melden bij de AP. Zo stel je de AP in staat om te controleren of je de privacy regels rondom datalekken naleeft. 

Je bent vrij in welke vorm je dit datalek register bijhoudt. Zorg er in ieder geval voor dat je de volgende elementen documenteert:

  • Feiten omtrent de datalek
  • Gevolgen voor de betrokkenen
  • Genomen maatregelen

#5 Verbeter om herhaling te voorkomen 

Heb je volledig in kaart gebracht hoe de datalek heeft kunnen ontstaan? Verbeter waar nodig processen en systemen. Zorg ervoor dat iedereen binnen je organisatie alert is op een datalek. We raden je aan om intern een meldpunt in te richten.

#6 Blijf meten en optimaliseren 

Deze laatste stap is essentieel voor een succesvolle implementatie. Blijf altijd meten of het uitrollen van je strategie goed verloopt. Loopt het ergens niet volgens plan? Stuur bij of optimaliseer waar nodig. 

Wil je het risico op een datalek beperken? 

Een beveiligde omgeving creëren voor gegevens heeft veel te maken met je ICT omgeving. Want hoe sla je gegevens op? Hoe is de toegang geregeld? En hoe zorg je voor goede updates, tests en back-ups?

Met een full-scope ISO 27001 certificering op zak weten we bij Nieuwenborg hoe we ook jouw ICT omgeving veilig inrichten. Neem vandaag nog vrijblijvend contact met ons op.

Gerelateerde blogs

Flex werkplek inrichten: Voordelen, nadelen + tips

Flex werkplek inrichten: Voordelen, nadelen + tips

Flexwerkplek inrichten: Voordelen, nadelen + tips Je wilt een flex werkplek inrichten. Een flexibele werkplek die past bij de medewerkers in jouw bedrijf. En die ondersteunt bij gezond werken. Maar hoe creëer je de juiste werkplek? En wat vraagt dat van je ICT...

Lees meer
Incident Response Plan in 5 stappen + Voorbeeld

Incident Response Plan in 5 stappen + Voorbeeld

Incident Response Plan in 5 stappen + Voorbeeld Hoe ga je als bedrijf om met een cyberaanval of een datalek? Een Incident Response Plan geeft je het antwoord. Negatieve gevolgen wil je natuurlijk zoveel mogelijk beperken. Daarom is het ontzettend belangrijk om goed...

Lees meer
Share This