In 6 stappen een IT strategie opstellen + voorbeeld
Een verloren telefoon, gestolen laptop of een e-mail die bij de verkeerde ontvanger terecht is gekomen. Wat nu? Hoe weet je of er sprake is van een datalek? En wanneer moet je een datalek melden? Doorloop het stappenplan in deze blog en weet wanneer én hoe te handelen.
Heb ik een datalek?
Een gestolen laptop hoeft geen datalek te betekenen. Volgens de AVG is er sprake van een datalek bij inbreuk op de beveiliging van persoonsgegevens. Daaronder valt ook het ongewenst vernietigen, verliezen of wijzigen en verstrekken ervan.
Enkel persoonsgegevens dus. Stel dat de gestolen laptop andere gevoelige bedrijfsinformatie bevat, dan wordt dit niet gezien als een datalek. Ook al kan de gebeurtenis vervelende consequenties hebben. We zetten de meest voorkomende datalekken op een rij:
- Fouten met post: Brief of postpakket met persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger(s), brief of pakketpost met persoonsgegevens kwijtgeraakt, brief of postpakket met persoonsgegevens geopend retour ontvangen.
- Hacking, malware en/of phishing
- E-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s)
Twijfel je of jouw bedrijf te maken heeft met een datalek? Doorloop dit schema en kom erachter of je een datalek moet melden.
Waarom een datalek melden?
Op grond van de AVG ben je verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) wanneer er een aanzienlijke kans bestaat op nadelige gevolgen.
Denk bijvoorbeeld aan een cyberaanval. Internetcriminelen hebben een klantendatabase gehackt. Na het betalen van losgeld beloven ze dat klantgegevens niet worden vrijgegeven op het dark web. Hoe zeker is dat?
Omdat er nog steeds een aanzienlijke kans op nadelige gevolgen bestaat, ben je verplicht om melding te maken van een datalek bij de AP.
Een datalek dien je zo snel mogelijk te melden. Bij voorkeur binnen 72 uur. Dit doe je bij het meldloket van de Autoriteit Persoonsgegevens.
Wacht je langer dan 72 uur? Dan ben je waarschijnlijk in overtreding. De AP zal je om een motivatie vragen voor de vertraging.
Stappenplan: Datalek melden in 5 stappen
Je hebt te maken met een datalek in je bedrijf en wilt melding doen. Waar begin je? Dit praktische datalek stappenplan helpt je gelijk op weg.
#1 Krijg zo snel mogelijk inzicht
Breng de situatie in kaart. Waar is de datalek ontstaan? Wat is de schade? Om welke persoonsgegevens gaat het? Wie heeft toegang gekregen tot deze gegevens? Het is belangrijk om snel inzicht te krijgen zodat eventuele verdere schade kan worden beperkt.
#2 Tref maatregelen om schade te beperken
Dit is afhankelijk van de situatie. Denk bijvoorbeeld aan het verwijderen van gegevens, de verkeerde ontvanger vragen om gegevens te verwijderen en dat te bevestigen of de getroffen diensten uit te schakelen of te ontkoppelen van het netwerk. Houd alleen systemen online waarvan je zeker weet dat ze veilig zijn. Het belangrijkste is om direct maatregelen te nemen en risico’s in te schatten.
#3 Meld de datalek
Bepaal of de datalek gemeld moet worden aan de AP. Zo ja, vul het meldformulier datalekken in. En doe dit binnen 72 uur. Het is mogelijk dit formulier voorafgaand in te zien om alle benodigde informatie te kunnen verzamelen.
In sommige gevallen dien je de betrokken partijen te informeren. Maar alleen wanneer er een hoog nadelig risico in de persoonlijke levenssfeer aan verbonden is. Informeer dan zo snel en discreet mogelijk. Vraag indien nodig om hulp.
#4 Documenteer de datalek
Vanuit de AVG ben je verplicht om alle datalekken binnen je bedrijf vast te leggen. Ook de datalekken waarvan je niet verplicht bent om deze te melden bij de AP. Zo stel je de AP in staat om te controleren of je de privacy regels rondom datalekken naleeft.
Je bent vrij in welke vorm je dit datalek register bijhoudt. Zorg er in ieder geval voor dat je de volgende elementen documenteert:
- Feiten omtrent de datalek
- Gevolgen voor de betrokkenen
- Genomen maatregelen
#5 Verbeter om herhaling te voorkomen
Heb je volledig in kaart gebracht hoe de datalek heeft kunnen ontstaan? Verbeter waar nodig processen en systemen. Zorg ervoor dat iedereen binnen je organisatie alert is op een datalek. We raden je aan om intern een meldpunt in te richten.
#6 Blijf meten en optimaliseren
Deze laatste stap is essentieel voor een succesvolle implementatie. Blijf altijd meten of het uitrollen van je strategie goed verloopt. Loopt het ergens niet volgens plan? Stuur bij of optimaliseer waar nodig.
Wil je het risico op een datalek beperken?
Een beveiligde omgeving creëren voor gegevens heeft veel te maken met je ICT omgeving. Want hoe sla je gegevens op? Hoe is de toegang geregeld? En hoe zorg je voor goede updates, tests en back-ups?
Met een full-scope ISO 27001 certificering op zak weten we bij Nieuwenborg hoe we ook jouw ICT omgeving veilig inrichten. Neem vandaag nog vrijblijvend contact met ons op.
Gerelateerde blogs
Wat is Infrastructure as a Service? + Voorbeelden
Wat is Infrastructure as a Service? + Voorbeelden Wat is Iaas nu precies en is het iets voor ons? In dit artikel duiken we dieper in de wereld van IaaS, verkennen we voorbeelden van providers en delen we praktische tips voor een succesvolle migratie en optimalisatie....
VPS beveiliging: 6 stappen voor een veilige private server
VPS beveiliging: 6 stappen voor een veilige private server Voor iedere MKB’er is het van cruciaal belang om hun online infrastructuur goed te beveiligen. Een Virtual Private Server (VPS) biedt veel flexibiliteit en kracht, maar deze voordelen komen met een...
VPS beheer voor het MKB: Zelf doen of uitbesteden?
VPS beheer voor het MKB: Zelf doen of uitbesteden? In een tijd waarin digitale aanwezigheid cruciaal is voor het succes van een bedrijf, is de keuze tussen zelf het beheer van een Virtual Private Server (VPS) op zich nemen of het uitbesteden ervan een belangrijke...