Wat is een datalek?
Wat is nu eigenlijk een datalek? En wat moet je als ondernemer geregeld hebben wanneer zo'n lek wordt geconstateerd? Het begint bij het vaststellen. Bij een datalek is sprake van ongeoorloofde of onbedoelde toegang tot persoonsgegevens.
Incident-afhandeling
Om inbreuk te kunnen beperken worden vanuit de AVG verplichtingen opgelegd om een datalek te voorkomen en als dit toch plaatsvindt de impact voor de betrokken personen te beperken.
Om aan die verplichting te kunnen voldoen, moet je organisatie in staat zijn:
1. Een incident te signaleren
2. Te kunnen vaststellen of het een datalek betreft
3. De impact op de betreffende personen te minimaliseren
4. Tijdig de juiste partijen te informeren
Voor de meeste bedrijven is punt 1 al een enorme uitdaging. Hoe weet je of er persoonsgegevens uit het verwerkingsproces zijn gelekt? Vaak blijkt dit naar aanleiding van een bericht in de krant of op internet, of als een externe partij zich meldt met de boodschap dat hij in bezit is van persoonsgegevens afkomstig uit je organisatie. Vanaf dat moment ben je je bewust van een incident en moet je daar iets mee. Let wel, een incident is nog steeds geen (vaststelling van een) lek! Registreer het incident (bijvoorbeeld in een Word-document) en houd bij wie waaraan werkt en welke tijd er voor welke activiteiten verstrijkt.
Bewustwording
Je moet dus onderzoek doen naar de authenticiteit van de berichtgeving of melding. Komen de gegevens daadwerkelijk bij u vandaan? En welke gegevens zijn gelekt? Dit onderzoek mag niet ellenlang duren. Er wordt gekeken naar de tijd die redelijkerwijs noodzakelijk is om een lek te kunnen vaststellen. Er loopt dus wel degelijk een klok. Als je tot de conclusie komt dat de gegevens daadwerkelijk bij jou vandaan komen, dan ben je je vanaf dat moment bewust van een datalek. Op dat moment begint er een hele belangrijke klok te tikken: die van de Autoriteit Persoonsgegevens.
Vanaf dat bewuste moment heb je uiterlijk 72 uur om zonder enige tussenkomende vertraging een datalek te melden bij de Autoriteit Persoonsgegevens. Let wel, nog niet alle feiten hoeven op tafel te liggen. Die mogen ook in een opvolgende melding worden aangevuld en verduidelijkt. Het belangrijkste is dat je een lek meldt. Ook als je niet 100% zeker weet of et een datalek betreft. We pakken er een voorbeeld bij.
Verkeerd verstuurde data vanuit de salarisadministratie
Stel: vanuit je salarisadministratiesysteem wordt een overzicht met jaaropgaves van een aantal van je medewerkers naar een verkeerd e-mailadres buiten je organisatie gestuurd.
Je stelt vast dat het gaat om honderd jaaropgaves van medewerkers die werken op je bedrijfslocatie in Groningen. Wat moet je melden:
Een omschrijving van het incident: Onrechtmatige ontsluiting van personeelsgegevens uit salarisadministratie door het versturen van e-mail naar een niet-geautoriseerd e-mailadres.De categorie van gegevens die zijn gelekt en het aantal: 100 bestanden met financieel gevoelige informatie.
Zijn er individuen uit andere lidstaten bij dit lek betrokken? Zo ja, welke? Nee.
De contactinformatie van de functionaris gegevensbescherming (FG) of de verantwoordelijke voor het afhandelen van deze melding: Naam en contactgegevens.
Beschrijving van de waarschijnlijke consequenties van dit incident: Het e-mailadres waar de e-mail naartoe is gestuurd behoort tot het privédomein van een medewerker op de eigen HR-afdeling. De verspreiding van informatie heeft dus betrekking op één medewerker die reeds geautoriseerd was om de informatie te kunnen inzien. Er zijn dus geen nieuwe feiten bekend geworden over de medewerkers waarvan de data gelekt is. Er worden geen verdere consequenties van dit lek verwacht voor de medewerkers waarvan data in het lek aanwezig was.
Beschrijving van de genomen maatregelen:Direct na het vaststellen van de fout door onze functionaris gegevensbescherming (FG) is contact opgenomen met de HR-medewerker. Ter plekke heeft onze FG een verzoek gedaan om de e-mail te verwijderen uit de mailbox en op alle apparaten die toegang hebben tot het desbetreffende mailadres. Dit is ter plekke ingewilligd en uitgevoerd. Voor zover we hebben kunnen vaststellen, zijn geen kopieën van de berichten gemaakt en/of doorgestuurd. Daarnaast is er contact opgenomen met de leverancier van het HR-systeem om de mogelijkheden te beperken voor het versturen van e-mail aan alleen mailadressen die zijn goedgekeurd door de FG.
Betrokken personen informeren
In het voorbeeld is het nog redelijk goed afgelopen met het lek, maar data kan ook zomaar de grens overgaan en buiten bereik van de verantwoordelijke terechtkomen. In zo’n situatie moet er een privacy impact analyse (PIA) plaatsvinden om te bepalen of de individuen waarvan de data is gelekt, moeten worden geïnformeerd. De toetsing daarvoor: als het waarschijnlijk is dat er fysieke, materiële of immateriële schade ontstaat als gevolg van het lek. In het geval van het voorbeeld, waarbij de jaaropgaven zijn gelekt, moet deze groep zeker geïnformeerd worden aangezien er economische en socio-economische gevolgschade te verwachten is.
Voorbereiding
Een datalek zit in een klein hoekje en je moet zich terdege bewust zijn van de risico’s en voorbereidingen treffen om een lek te voorkomen, dan wel dit zo snel en goed mogelijk te kunnen dichten.