Wat is een datalek?
Een datalek is een situatie waarin er sprake is van een inbreuk op de beveiliging van persoonsgegevens. Dit betekent dat persoonlijke informatie die normaal gesproken beschermd zou moeten zijn, blootgesteld is aan verlies, diefstal, onrechtmatige toegang, ongeoorloofde verwerking of andere vormen van misbruik.
Een datalek brengt vervelende gevolgen met zich mee zoals een verhoogd risico op identiteitsfraude, financiële fraude, oplichting, reputatieschade, chantage of eventuele doorverkoop van persoonsgegevens aan andere criminelen.
De meldplicht voor datalekken heeft als hoofddoel om een betere bescherming van persoonsgegevens te waarborgen.
Datalek door interne en externe factoren
Een datalek kan zowel het gevolg zijn van een externe inbreuk op de beveiliging door een cyberaanval of een interne factoren zoals een menselijke fout.
Voorbeelden van datalekken door interne factoren:
- Verkeerd geadresseerde e-mailberichten.
- Verlies van fysieke apparaten (laptop of telefoon) met persoonsgegevens.
- Onjuiste gegevensverwerking.
- Open papierbak met vertrouwelijk papier.
- Inzage in een medisch dossier door een onbevoegde medewerker.
Voorbeelden van datalekken door externe factoren:
- Hack waarbij er ingebroken wordt op de bedrijfssystemen
- Malware waarbij schadelijk software wordt geïnstalleerd, zoals ransomeware of spyware
- Phishing waarbij medewerkers, relaties of klanten worden misleid via e-mailberichten of brieven
De Autoriteit Persoonsgegevens (AP) identificeert drie belangrijke soorten cyberaanvallen: hacking, malware en phishing. In het jaar 2021 ontving de AP ruim 2.200 meldingen van datalekken als gevolg van dergelijke cyberaanvallen.
Soorten datalekken
Er zijn drie soorten datalekken die onderscheiden kunnen worden volgens de Autoriteit Persoonsgegevens.
- Inbreuk op de vertrouwelijkheid: Dit type datalek treedt op wanneer persoonsgegevens openbaar zijn gemaakt of waarbij onbevoegden onrechtmatig toegang hebben gekregen tot persoonsgegevens. Dit kan opzettelijk zijn gebeurd door een onbevoegd persoon of per ongeluk als gevolg van zwakke beveiligingsmaatregelen.
- Inbreuk op de integriteit: Bij dit type datalek zijn persoonsgegevens gewijzigd door iemand die daar niet bevoegd toe is, of dit nu opzettelijk is gedaan of per ongeluk. Het wijzigen van gegevens kan ernstige gevolgen hebben, zoals het vervalsen van informatie of het creëren van misleidende documenten.
- Inbreuk op de beschikbaarheid: Deze vorm van datalek treedt op wanneer de organisatie niet langer toegang heeft tot de persoonsgegevens of wanneer de gegevens zijn vernietigd. Dit kan opzettelijk zijn gedaan door een externe factor of per ongeluk als gevolg van technische storingen of hardwareproblemen.
Het begrijpen van deze verschillende soorten datalekken is van cruciaal belang voor organisaties om gepaste acties, reacties en preventieve maatregelen te kunnen nemen.
Top 5 meest voorkomende datalekken (2022)
- Brief of postpakket met persoonsgegevens geopend retourontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger(s). (61%)
- E-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s) of verstuurd met ontvangers in het aan-veld of in de CC. (20%)
- Hacking, malware (bijv. ransomware) en/of phishing. (11%)
- Persoonsgegevens toegevoegd aan het verkeerde dossier. (4%)
- Apparaat, gegevensdrager (bijv. USB-stick) en/of papier met persoonsgegevens kwijtgeraakt of gestolen. (4%)
Datalek melden
Bij het ontdekken van een datalek is het essentieel om als verantwoordelijke snel en adequaat te handelen om de mogelijke gevolgen te beperken. De Autoriteit Persoonsgegevens stelt dat een datalek binnen 72 uur na ontdekking dient te worden gemeld. In de Algemene verordening gegevensbescherming (AVG) geldt dan ook een zogenoemde meldplicht datalekken.
Zorg ervoor dat medewerkers op de hoogte zijn van het werkproces bij datalekken en dat ze zich veilig genoeg voelen om een datalek te melden. Maak ook duidelijk wie het eerste aanspreekpunt is binnen uw organisatie bij een mogelijk datalek, zoals de dataprivacy officer. Spreek ook af wie wat doet binnen de organisatie bij de vervolgstappen om een datalek te beëindigen.
Dit zijn in vogelvlucht de stappen die moeten worden genomen bij een datalek en hoe dit gemeld moet worden:
- Overzicht: Verzamel informatie over het lek, zoals het type datalek, de ersnt van het lek het aantal gelekte persoonsgegevens en de oorzaak.
- Stop en beperk: Neem onmiddellijk maatregelen om het datalek te stoppen en de mogelijke schade ervan te minimaliseren. Schat de risico’s in en voer indien nodig een digitaal forensisch onderzoek uit om de ernst en omvang van het lek vast te stellen.
- Meld datalek aan bij de AP: Bepaal of het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens (AP). Als dat het geval is, meld het lek dan onmiddellijk. In de meeste gevallen moet dit binnen 72 uur na ontdekking gebeuren. Als een datalek moet worden gemeld aan de AP, kan dit worden gedaan via de specifieke meldingspagina van de Autoriteit Persoonsgegevens.
- Informeer betrokkenen: Beslis of de betrokkenen moeten worden geïnformeerd over het datalek en doe dit dan zo snel mogelijk. De slachtoffers moeten rechtstreeks worden geïnformeerd via passende kanalen zoals een e-mailbericht, brief of via telefonsch contact. Kies een communicatievorm die aansluit bij uw doelgroep.
- Registreer in datalekregister: Houd een interne registratie bij van het datalek in uw datalekregister. Dit is niet alleen een vereiste volgens de meldplicht, maar het toont ook aan dat uw organisatie zich houdt aan de juiste meldprocedures.
Nederland staat in de top drie van landen in Europa waar de meeste datalekken worden gemeld.
Autoriteit Persoonsgegevens
Door proactief te handelen en de juiste maatregelen te nemen, kan de impact van datalekken worden verminderd en de privacy van individuen worden beschermd.
De Autoriteit Persoonsgegevens heeft richtlijnen opgesteld welke stappen u moet ondernemen bij een datalek.
Boetes en sancties
De Autoriteit Persoonsgegevens heeft de bevoegdheid om boetes op te leggen aan organisaties die de privacywetgeving overtreden, met als doel naleving van de regelgeving te waarborgen.
De hoogte van deze boetes zijn onder andere afhankelijk van de ernst van de overtreding, de omvang van de schade voor betrokkenen, de mate van verantwoordelijkheid en nalatigheid en de genoemen maatregelen die door de verantwoordelijke zijn genoemen om inbruik te voorkomen. Hier zijn enkele belangrijke details over datalekboetes.
De maximale boete die opgelegd kan worden bij een datalek is 20 miljoen euro of 4% van de wereldwijde jaaromzet van een organisatie, afhankelijk van welke van de twee bedragen hoger is.
De Autoriteit Persoonsgegevens hanteert de Fining Guidelines van de European Data Protection Board (EDPB) bij het bepalen van de hoogte van boetes voor bedrijven.
Hoe een datalek voorkomen?
Een deugdelijke beveiliging van fysieke en digitale persoonsgegevens is belangrijk om het risico op een datalek zoveel mogelijk in te dammen.
Stel daarbij protocollen op die in werking treden wanneer een datalek binnen uw organisatie aan het licht komt.
Aandachtspunten
- Risicoanalyse: Start met een risicoanalyse om kwetsbaarheden in uw systemen te identificeren, zodat u weet waar uw organisatie het kwetsbaarst is voor datalekken.
- Aanstelling van Data Protection Office (DPO) of een Privacy Officer (PO): Benoem een privacy officer binnen uw organisatie die fungeert als het aanspreekpunt voor alle zaken met betrekking tot gegevensbescherming en datalekken. Deze persoon zal verantwoordelijk zijn voor het coördineren van de reactie op datalekken en het communiceren met relevante partijen, waaronder de Autoriteit Persoonsgegevens (AP).
- Implementeer een datalekprotocol: Stel een duidelijk en gestructureerd datalekprotocol op dat in werking treedt bij een datalek. Zorg ervoor dat dit protocol alle noodzakelijke stappen omvat, van het identificeren van een datalek tot het melden ervan aan de AP en het informeren van betrokkenen.
- Beveiligingsmaatregelen: Implementeer technische en organisatorische maatregelen zoals firewalls, 2-factor authentication en encryptie.
- Fysieke datadragers: Behandel papieren documenten en digitale datadragers vertrouwelijk en vernietig deze gecertificeerd als de datadragers weggegooid dienen te worden.
- Verwerkersovereenkomsten: Maak duidelijke afspraken met interne en externe verwerkers en stel protocollen op voor datalekken.
- Beperkte toegang: Beperk medewerkers tot de gegevens die ze daadwerklijk nodig hebben voor hun taken.
- Bewustwording: Train medewerkers over beveiligiginsrisico’s zoals hacking, phishing en malware.
- Mobiele beveiliging: Beveilig mobiele apparaten met sterke wachtwoorden en versleuteling.
- E-mailbeveiliging: Gebruik “bcc” om e-mailadressen in groepsmailberichten te beschermen.
Vernietig datadragers bij een CA+ gecertificeerd bedrijf
Voorkom het risico op een datalek bij het verwijderen en weggooien van vertrouwelijk materiaal, zoals archiefpapier, een harde schijf of een USB-stick.
Kies voor veilige en CA+ gecertificeerde afvoer en vernietiging van uw oude datadragers welke persoonsgegevens bevatten.
Een CA+ gecertificeerde vernietigingsaanpak betekent dat alle aangeboden materialen op een gecertificeerde en veilige manier worden vernietigd om hiermee datalekken te voorkomen.
Na datavernietiging ontvangt u als klant een officieel vernietigingscertificaat, dat dient als bewijs van fysieke vernietiging.
Brantjes Data-Vernietiging is een CA+ gecertificeerde partij in de Randstad. Wij kunnen uw vertrouwelijke gegevens op een veilige en gecertificeerde manier laten vernietigen en zo de veiligheid van uw informatie waarborgen.
Neem voor meer informatie contact op met een van onze specialisten.
Bronvermelding
Voor dit artikel hebben we gebruik gemaakt van onderstaande bronnen:
Pim is verantwoordelijk voor de websites, marketing en communicatie bij de Nijssen Groep. Gespecialiseerd in online marketing en SEO.