Help, een datalek! Wat nu? - Deel 1: datalekken

In dit blog staan wij stil bij de vraag wat een datalek is en geven we het stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’ mee. In onze volgende blogs zullen we onder meer kijken naar cyberincidenten in het algemeen, de meldplicht bij datalekken en cyberincidenten en gaan we nader in op de vraag of en hoe dit soort incidenten te voorkomen zijn.

What is a data breach?

We spreken van een datalek als er volgens de Algemene Verordening Gegevensbescherming (AVG) een “inbreuk in verband met persoonsgegevens” is. Dit houdt in dat persoonsgegevens door een inbreuk op de beveiliging verloren zijn gegaan, vernietigd of gewijzigd, dat er ongeoorloofde toegang toe is verkregen of dat deze ongeoorloofd zijn verstrekt. Dat hoeft niet met kwade bedoelingen te gebeuren. Ook een e-mail waarbij de ontvangers per ongeluk in de cc in plaats van de bcc zijn opgenomen kan al een datalek zijn.

Datalekken zijn grofweg in drie categorieën te verdelen:

• Inbreuk op de vertrouwelijkheid: persoonsgegevens worden ingezien door of gedeeld met onbevoegden.
• Inbreuk op de integriteit: persoonsgegevens worden onbedoeld of ongeoorloofd gewijzigd.
• Inbreuk op de beschikbaarheid: persoonsgegevens zijn (tijdelijk) niet toegankelijk of worden vernietigd.

Een datalek is vaak een cyberincident, maar niet elk cyberincident is ook een datalek. Een datalek moet meestal worden gemeld aan de Autoriteit Persoonsgegevens, maar niet altijd. Betrokken personen hoeven alleen te worden ingelicht als er voor hen een hoog risico is. Andere partijen moeten worden geïnformeerd volgens de contractuele afspraken die zijn gemaakt.  

Impact

De gevolgen van een incident zijn vaak groot. Zo kunnen diensten of producten ontoegankelijk zijn, denk bijvoorbeeld aan elektronische patiëntdossiers die niet geraadpleegd kunnen worden. Ook kunnen gevoelige gegevens op straat komen te liggen, zoals recent het geval was bij het datalek bij het laboratorium voor het bevolkingsonderzoek naar baarmoederhalskanker.

Organisaties kunnen daarnaast te maken krijgen met verminderd klantvertrouwen, reputatieschade en hoge herstelkosten. Betrokkenen kunnen te maken krijgen met reputatieschade en identiteitsfraude. Als blijkt dat de AVG overtreden is, dan kunnen betrokkenen die schade hebben geleden schadevergoeding claimen en kan de AP een waarschuwing geven of boete opleggen.

Eerste hulp bij datalekken & cyberincidenten

Wat doe je als het misgaat? Het is niet altijd mogelijk om een datalek of ander cyberincident te voorkomen. Om organisaties te helpen, hebben wij een praktisch stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’ opgesteld. Dit stappenplan bestaat uit de volgende stappen:

De 13 stappen:

1. Breng de situatie in kaart.
2. Bel de verzekeraar.
3. Stel een crisisteam samen.
4. Neem direct maatregelen.
5. Check meldplicht bij het NCSC (binnen 24 uur).
6. Meld een datalek bij de AP (binnen 72 uur).
7. Informeer de betrokken personen.
8. Onderzoek alternatieve leveranciers of dienstverleners.
9. File a police report.
10. Werk meldingen tijdig bij.
11. Leg het incident vast in het interne register.
12. Onderzoek of schade te verhalen is.
13. Voorkom herhaling.

Via onderstaande knop is het uitgebreide stappenplan in een infographic te bekijken.

Stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’

In de volgende blogs van Ploum zal dit stappenplan nader worden toegelicht.

Zie voor een aantal tips ook het eerder verschenen blog: Datalekken in de praktijk: drie tips | Ploum. 

Neem contact met ons op

Op zoek naar meer informatie over datalekken of andere cyberincidenten? Neem vrijblijvend contact op met een van de advocaten van Ploum als je vragen over het stappenplan hebt of als jouw organisatie ondersteuning nodig heeft.