Een datalek. Het klinkt als iets groots, eng en vooral: iets dat altijd gemeld moet worden.
▶Inhoudsopgave
Maar wat nou als je ontdekt dat er data gelekt is, maar de schade beperkt is?
Misschien is het aantal getroffen personen kleiner dan de wettelijke drempel, of is de data niet gevoelig genoeg voor een verplichte melding bij de Autoriteit Persoonsgegevens (AP). Toets je dan opgelucht achterover? Nee. Zeker niet. De AVG (Algemene Verordening Gegevensbescherming) mag dan een meldplicht kennen, de plicht om interne documentatie bij te houden, verdwijnt nooit.
Sterker nog: juist die interne documentatie is je reddingsboei. Het is je bewijslast, je leermeester en je verdediging. Laten we eens duiken in wat je echt intern moet vastleggen, zonder dat je direct een melding hoeft te doen bij de AP.
Waarom documenteren cruciaal is (ook zonder meldplicht)
Stel je voor: je ontdekt een lek, maar de impact lijkt nihil.
Je besluit niet te melden. Twee jaar later blijkt er toch schade te zijn, of een toezichthouder komt langs voor een steekproef. Zonder documentatie sta je met lege handen. Je moet kunnen aantonen waarom je destijds besloot niet te melden.
Je moet laten zien dat je de situatie serieus hebt genomen, de risico’s hebt geanalyseerd en passende maatregelen hebt genomen. Documentatie is je geheugensteun en je verantwoording. Het gaat hier niet om bureaucratische rompslomp, maar om het bouwen van een ijzersterke veiligheidscultuur.
De onmisbare basis: Incidentregistratie
Elk datalek, hoe klein ook, begint met een simpele vraag: wat is er gebeurd?
Het incidentrapport: meer dan alleen een verhaal
Een gestructureerde registratie is de hoeksteen van je documentatie. Zonder deze basis wordt het een chaos van losse eindjes. Een gestructureerd rapport is essentieel.
- Wie, wat, waar en wanneer: Noteer de exacte datum en tijd van ontdekking en het moment waarop het incident plaatsvond. Wie heeft het ontdekt? Wie was betrokken?
- De aard van de data: Welke specifieke soorten data zijn geraakt? Denk aan persoonsgegevens (PII), financiële data of bedrijfsgeheimen. Specificeer of het om bijzondere persoonsgegevens gaat (zoals gezondheidsdata), want dat verandert de ernst.
- De omvang: Hoeveel personen of records zijn getroffen? Een schatting is prima, maar maak deze zo nauwkeurig mogelijk. Is het er één of duizend?
- De oorzaak: Was het een menselijke fout, een technische bug, of een externe aanval? Een phishingmail die is aangekomen, is anders dan een wachtwoord dat daadwerkelijk is ingevuld.
- Directe acties: Wat is er meteen gedaan? Is de server offline gehaald? Is het wachtwoord gereset? Is de betreffende medewerker geïnstrueerd?
Denk aan een digitaal formulier of een vast template in je ticketingsysteem. Je wilt consistentie. Voor elk incident leg je minimaal deze vijf kerngegevens vast:
Een goed rapport is feitelijk en objectief. Geen emoties, gewoon de harde cijfers en feiten.
Chronologisch logboek: de rode draad
Naast het samenvattende rapport is een chronologisch logboek onmisbaar. Dit is de 'blauwdruk' van je reactieproces. Leg elke actie, beslissing en communicatie vast met datum en tijd. Stuurde je een e-mail naar de IT-afdeling? Log het.
Had je een overleg met het management? Log het. Dit logboek toont aan dat je proactief en gestructureerd hebt gehandeld, wat essentieel is voor je geloofwaardigheid.
Analyse en impact: de diepte in
Nadat het incident is geregistreerd, begint het echte werk: de analyse. Je moet begrijpen wat er is gebeurd en wat de potentiële impact is, zelfs als deze nu nihil lijkt. Een grondige inventarisatie is key.
Welke data is precies blootgesteld? Waar lag die data?
Data-inventarisatie en risicoanalyse
Hoe gevoelig is die? Gebruik een data mapping document of een catalogus om dit inzichtelijk te maken.
Vervolgens voer je een risicoanalyse uit. Gebruik een simpele risicomatrix om de waarschijnlijkheid en impact van verschillende scenario’s te beoordelen. Denk aan reputatieschade, financiële verliezen of juridische aansprakelijkheid.
Impactbeoordeling: wie treft het?
Het doel is niet om angst te zaaien, maar om reële risico’s in te schatten.
Bepaal wie er precies door het lek worden geraakt. Zijn het klanten, medewerkers of leveranciers? Wat zijn de mogelijke gevolgen voor hen? Identiteitsdiefstal, financiële schade of simpelweg een gevoel van onveiligheid? Wanneer moet je de betrokkenen informeren over dit incident?
Een impactmatrix helpt om dit visueel te maken en prioriteiten te stellen. Dit inzicht is cruciaal om te bepalen of er alsnog een meldplicht ontstaat, bijvoorbeeld als er nieuwe informatie boven water komt.
Interne reactie: beperken en herstellen
Nu je weet wat er is gebeurd en wat de impact is, is het tijd om te handelen.
Containment en eradictie: het vuur blussen
Je interne reactie moet niet alleen effectief zijn, maar ook gedocumenteerd. Documenteer elke stap die je neemt om het incident te beperken.
Remediatie: de oorzaak aanpakken
Is een systeem geïsoleerd? Is malware verwijderd? Noteer welke tools en technieken zijn gebruikt. Deze documentatie toont aan dat je de situatie onder controle hebt gekregen en voorkomt dat het lek verder uitdijt. Na actie in de eerste uren na een hack, moet je de oorzaak aanpakken.
Documenteer welke maatregelen zijn genomen om de kwetsbaarheid te verhelpen. Denk aan het implementeren van nieuwe beveiligingsmaatregelen, het aanpassen van beleid of het trainen van medewerkers.
Interne communicatie: transparantie en consistentie
Noteer wie verantwoordelijk is en wanneer de maatregel is geïmplementeerd. Dit voorkomt herhaling. Communicatie is vaak het sluitpostje, maar essentieel. Documenteer alle interne communicatie over het incident: e-mails, chats, vergadernotulen en rapporten.
Zorg dat iedereen die betrokken is, dezelfde informatie heeft. Dit voorkomt verwarring en zorgt voor een eenduidige boodschap.
Bewijs van compliance: je verantwoording afleggen
Zelfs als je niet hoeft te melden, moet je kunnen aantonen dat je voldoet aan wet- en regelgeving.
Beleid en training: de foundation
Dit is je bewijslast voor de toezichthouder of voor jezelf bij een interne audit. Documenteer welke beleidslijnen en procedures van toepassing zijn op gegevensbescherming en incidentmanagement, inclusief hoe je een datalek meldt bij de Autoriteit Persoonsgegevens. Zorg dat deze up-to-date zijn.
Daarnaast leg je vast welke trainingen en bewustwordingsprogramma’s zijn gegeven aan medewerkers. Noteer de datum, inhoud en deelnemers.
Auditlogboeken: de digitale voetafdruk
Dit toont aan dat je medewerkers serieus neemt en hen in staat stelt om veilig te werken.
Bewaar alle relevante auditlogboeken van systemen en applicaties. Deze logs zijn cruciaal voor het onderzoeken van de oorzaak en het volgen van de activiteiten rondom het incident. Zorg dat ze correct worden bewaard en toegankelijk zijn voor geautoriseerde personen. Denk aan logs van firewalls, servers en applicaties.
Afronding en lessen voor de toekomst
Elk incident is een leermoment. Sluit het incident af met een duidelijk rapport en concrete aanbevelingen voor de toekomst.
Eindrapportage: de conclusie
Stel een eindrapport op waarin je de analyse, genomen maatregelen en lessen learned samenvat.
Aanbevelingen: de actiepunten
Dit rapport dient als referentie voor toekomstige incidenten en moet worden goedgekeurd door het management. Het is je visitekaartje voor een veiligere organisatie. Formuleer concrete, haalbare aanbevelingen om de beveiliging te verbeteren.
Prioriteer deze op basis van risico’s en zorg dat ze worden geïmplementeerd. Leg vast wie verantwoordelijk is en binnen welke termijn de actiepunten moeten zijn afgerond. Dit zorgt voor een continue verbetering van je veiligheidspositie. Door deze stappen te volgen en alles gedetailleerd te documenteren, bouw je niet alleen een ijzersterke verdediging op, maar verbeter je ook daadwerkelijk je veiligheid. Het is een investering die zich altijd terugbetaalt.