Een datalek zit in een klein hoekje. Het gaat niet alleen om geavanceerde hacks; een verkeerd geadresseerde e-mail met een Excel-lijst vol klantgegevens of een gestolen werklaptop in de trein valt ook onder de noemer datalek. Vanwege de strenge AVG-wetgeving moet u hier direct en volgens een vaste procedure op acteren.
We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, waardoor deze gegevens onbedoeld of onrechtmatig zijn vernietigd, verloren, gewijzigd, of toegankelijk zijn gemaakt voor onbevoegden.
Zodra een medewerker een (mogelijk) lek signaleert, moet de volgende procedure worden doorlopen:
Direct na ontdekking. Voorkom verdere verspreiding. Verander direct wachtwoorden, blokkeer accounts, of haal de betreffende server tijdelijk offline. Neem contact op met de IT-beheerder.
Binnen 24 uur. Breng in kaart wélke gegevens zijn gelekt (bijv. namen, e-mailadressen, of gevoelige data zoals medische dossiers of BSN-nummers) en hoeveel personen het betreft.
Binnen 72 uur. Vormt het lek een risico voor de privacy van de betrokkenen? Zo ja, dan moet u dit uiterlijk binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP) via hun meldloket. Bij twijfel: meld het toch.
Indien hoog risico. Is er een hoog risico dat de betrokkenen slachtoffer worden van identiteitsfraude of spam? Dan bent u verplicht hen direct te informeren. Vertel wat er is gelekt en welke maatregelen zij zelf kunnen nemen (zoals extra alert zijn op phishing).
Na de crisis. Elk bedrijf is verplicht een intern datalekregister bij te houden. Noteer de datum, de aard van het incident, de gevolgen en de maatregelen die u heeft genomen om herhaling te voorkomen. Ook lekken die u niet aan de AP meldt, moet u hierin documenteren.
Een goed voorbereid datalekprotocol voorkomt paniek en boetes van de Autoriteit Persoonsgegevens. Wilt u uw AVG-compliance en interne procedures laten toetsen?
Plan een compliance-gesprek