Help, een datalek! Wat nu? - Deel 3: de inhoud van de meldingen en interne registratie

In dit derde deel gaan we in op de inhoud van de meldingen en de interne registratie van datalekken.

Inhoud van de melding bij de AP

Is er sprake van een meldplichtig datalek, dan moet de melding aan de AP volledig, zorgvuldig en tijdig (binnen 72 uur na kennisname) worden gedaan. Onvolledige of onduidelijk geformuleerde meldingen kunnen leiden tot aanvullende vragen van de AP.

Voor de melding aan de AP moet het formulier op de website van de AP worden ingevuld. In het formulier moeten uitgebreide vragen over het datalek worden beantwoord. Denk aan vragen over de oorzaak en omvang van het datalek, de gelekte persoonsgegevens, de betrokken personen, de (mogelijke) gevolgen en de getroffen maatregelen. Maar het formulier bevat bijvoorbeeld ook vragen over andere betrokken organisaties, het informeren van de betrokken personen en eventuele meldingen aan andere toezichthouders. Is niet alle informatie direct beschikbaar, dan kan op een later moment een vervolgmelding bij de AP worden gedaan.

Inhoud van de melding aan betrokkenen

Wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de bij het datalek betrokken personen, moeten ook zij meestal worden geïnformeerd. Deze communicatie moet plaatsvinden in duidelijke en eenvoudige taal en mag niet onnodig technisch of verhullend zijn.

De melding aan betrokkenen bevat ten minste:

• Een omschrijving van de aard van het datalek;
• De naam en contactgegevens van de Functionaris voor de Gegevensbescherming (FG) of een ander contactpunt;
• Een beschrijving van de waarschijnlijke gevolgen van het datalek; en
• Een beschrijving van de maatregelen die zijn voorgesteld of genomen, waaronder maatregelen ter beperking van eventuele nadelige gevolgen.

Inhoud van de melding aan contractspartijen

Vergeet ook niet om eventuele contractspartijen op tijd te informeren. Voor de inhoud van de melding moeten de afspraken worden gevolgd die in het contract hierover zijn gemaakt.

Interne registratie in het incidenten- en datalekkenregister

Je bent als organisatie verplicht om datalekken ook intern vast te leggen, zowel in het geval dat deze wel als niet meldplichtig zijn.

Het is daarom belangrijk om een incidenten- en datalekkenregister te voeren. Wij adviseren om daarin bij ieder datalek in ieder geval de volgende informatie op te nemen:

• De datum en het tijdstip waarop het datalek is ontdekt;
• De datum en het tijdstip waarop het incident heeft plaatsgevonden;
• Een omschrijving van het incident;
• Een omschrijving van de (potentiële) gevolgen van het incident;
• Welke corrigerende en preventieve maatregelen zijn getroffen;
• Of het incident is gemeld bij de AP;
• Of het incident is gemeld aan de betrokkenen;
• Of de Functionaris voor de Gegevensbescherming (FG) is geraadpleegd (indien van toepassing);
• Welke andere organisaties of verwerkers bij het datalek betrokken zijn;
• Eventuele aanvullende opmerkingen; en
• De naam van degene die de registratie heeft gedaan.

Een zorgvuldig bijgehouden incidenten- en datalekkenregister is niet alleen van belang in het kader van toezicht door de AP, maar helpt ook om inzicht te krijgen in terugkerende risico’s en om processen en beveiligingsmaatregelen te verbeteren.

Eerste hulp bij datalekken & cyberincidenten

Wat doe je als het misgaat? Het is niet altijd mogelijk om een datalek of ander cyberincident te voorkomen. Om organisaties te helpen, hebben wij een praktisch stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’ opgesteld. Dit stappenplan bestaat uit de volgende stappen:

Praktisch stappenplan in 13 stappen

1. Breng de situatie in kaart.
2. Bel de verzekeraar.
3. Stel een crisisteam samen.
4. Neem direct maatregelen.
5. Check meldplicht bij het NCSC (binnen 24 uur).
6. Meld een datalek bij de AP (binnen 72 uur).
7. Informeer de betrokken personen.
8. Onderzoek alternatieve leveranciers of dienstverleners.
9. Doe aangifte bij de politie.
10. Werk meldingen tijdig bij.
11. Leg het incident vast in het interne register.
12. Onderzoek of schade te verhalen is.
13. Voorkom herhaling.

Via onderstaande knop is het uitgebreide stappenplan in een infographic te bekijken.

Stappenplan ‘Eerste hulp bij datalekken & cyberincidenten’