Stel je even voor: je bent aan het werk, je koffie staat nog warm op je bureau en dan gebeurt het. Een verkeerde klik, een gestolen laptop of een hackeraanval plotseling.
▶Inhoudsopgave
Opeens zijn persoonsgegevens van klanten niet meer veilig. Je voelt meteen die koude rilling over je rug. Wat nu?
Is dit een datalek? En belangrijker: moet je dit nu direct melden bij de Autoriteit Persoonsgegevens? Geen paniek, we gaan dit samen uitzoeken.
Het klinkt ingewikkeld, maar het valt best mee als je het stap voor stap bekijkt. Laten we eens kijken wat een datalek nou eigenlijk precies is en wat jouw verplichtingen zijn.
Wat is een datalek eigenlijk?
Een datalek is eigenlijk simpelweg een ongelukje met persoonsgegevens. Stel je voor dat je een map vol met persoonlijke dossiers per ongeluk op straat laat vallen.
Dat is een datalek. Of denk aan een hacker die toegang krijgt tot je systeem en klantgegevens steelt. Ook dat is een datalek.
Kort gezegd: het gaat mis als persoonsgegevens worden blootgesteld aan mensen die daar eigenlijk niets mee te maken hebben.
Wanneer spreken we van persoonsgegevens?
Volgens de officiële definitie van de Autoriteit Persoonsgegevens is er sprake van een datalek als er sprake is van een inbreuk op de beveiliging van persoonsgegevens. Dit kan leiden tot vernietiging, verlies, wijziging of ongeautoriseerde verstrekking van die gegevens. Dus, of het nu gaat om een verloren USB-stick of een hack door een kwaadwillende, het is allemaal onderdeel van hetzelfde probleem: persoonsgegevens zijn niet meer veilig. Niet elk stukje informatie is een persoonsgegeven.
Een persoonsgegeven is elk stukje informatie dat direct of indirect herleidbaar is tot een levend persoon. Denk aan een naam, een adres, een e-mailadres, een telefoonnummer, maar ook een IP-adres of zelfs een foto. Als zulke gegevens in het gedrang komen, spreken we van een datalek.
Wanneer ben je als bedrijf verplicht een datalek te melden?
Hier wordt het spannend. Niet elk datalek hoeft direct gemeld te worden bij de Autoriteit Persoonsgegevens.
De meldplicht geldt alleen als er een risico is voor de rechten en vrijheden van mensen. Wat betekent dat precies?
De 72-uurs regel
Nou, als het lek kan leiden tot bijvoorbeeld identiteitsfraude, financiële schade, of ernstige reputatieschade voor de betrokkenen, dan moet je het melden. Stel je voor: je verliest een laptop met alleen anonieme klantnummers erop. Geen direct risico, dus geen meldplicht. Maar als diezelfde laptop vol staat met namen, adressen en bankgegevens, dan is het een heel ander verhaal.
Dan is het risico groot en moet je direct actie ondernemen. Als je een datalek ontdekt en het vormt een risico, dan heb je 72 uur de tijd om het te melden bij de Autoriteit Persoonsgegevens.
Dit klinkt streng, maar het is bedoeld om snel te handelen en de schade te beperken. De klok begint te tikken op het moment dat je het lek ontdekt, niet op het moment dat het is ontstaan. Dus, zodra je weet dat er iets mis is, moet je direct actie ondernemen.
Als het lek een hoog risico vormt voor de betrokkenen, moet je ze ook direct informeren. Dit is de zogenaamde meldplicht aan betrokkenen. Je moet duidelijk uitleggen wat er is gebeurd, welke gegevens zijn gelekt en wat de betrokkenen kunnen doen om zich te beschermen.
Soorten datalekken: hoe gebeurt het?
Datalekken kunnen op verschillende manieren ontstaan. Sommige zijn het gevolg van technische problemen, andere van menselijke fouten.
Technische datalekken
Laten we een paar veelvoorkomende scenario’s bekijken. Techneuten noemen dit wel eens "kwetsbaarheden". Denk aan een server die niet goed is beveiligd, of een softwarefout die ervoor zorgt dat gegevens zichtbaar worden voor onbevoegden.
Hackers zijn hier vaak blij mee, want ze kunnen makkelijk toegang krijgen tot systemen die niet up-to-date zijn.
Menselijke fouten
Een voorbeeld van een technisch datalek is een lek in een database van een webshop. Stel je voor: je bent op zoek naar een nieuwe schoen en je tikt een URL in, maar per ongeluk kom je op een pagina terecht waar je de persoonsgegevens van andere klanten kunt inzien. Dat is niet de bedoeling en dus een technisch datalek.
Dit is waarschijnlijk de meest voorkomende oorzaak van datalekken. Een verkeerde e-mail versturen, een document per ongeluk openbaar maken of een laptop vergeten in de trein.
Het gebeurt sneller dan je denkt. Een typisch voorbeeld is een medewerker die per ongeluk een e-mail met gevoelige klantgegevens naar de verkeerde persoon stuurt.
Of een werknemer die een bestand met persoonsgegevens op een openbare computer opslaat, waarna iemand anders er toegang toe krijgt.
Wat te doen bij een datalek? Stappenplan
Als je een datalek ontdekt, is het belangrijk om rustig te blijven en direct de juiste stappen te nemen. Hier is een eenvoudig stappenplan om je op weg te helpen.
Stap 1: Het lek dichten
De eerste stap is altijd om het lek zo snel mogelijk te dichten.
Stap 2: De impact vaststellen
Als er nog steeds gegevens aan het uitlekken zijn, moet je dat direct stoppen. Sluit de betrokken systemen af, wachtwoorden wijzigen of de toegang tot bepaalde bestanden beperken. Hoe sneller je het lek stopt, hoe minder schade er wordt aangericht.
Zodra het lek gedicht is, moet je onderzoeken wat de impact is. Welke gegevens zijn gelekt? Hoeveel mensen zijn getroffen? Wat voor soort gegevens zijn het?
Stap 3: Melden bij de Autoriteit Persoonsgegevens
Is het alleen een naam en e-mailadres, of gaat het om gevoelige informatie zoals medische gegevens of financiële data?
Deze informatie is belangrijk om te bepalen of er een risico is voor de betrokkenen en of je het lek moet melden. Als je niet zeker weet wat de impact is, schakel dan een expert in.
Als er een risico is, moet je het datalek tijdig melden bij de Autoriteit Persoonsgegevens. Dit kan via hun website. Je moet onder andere aangeven wat er is gebeurd, welke gegevens zijn gelekt, hoeveel mensen zijn getroffen en wat je hebt gedaan om het lek te dichten.
Vergeet niet dat je 72 uur de tijd hebt om te melden.
Stap 4: Betrokkenen informeren
Als je te laat bent, loop je het risico op een boete. De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat het hoogst is. Als het lek een hoog risico vormt, moet je de betrokkenen informeren.
Dit moet gebeuren zonder onnodige vertraging. Je moet duidelijk uitleggen wat er is gebeurd, welke gegevens zijn gelekt en wat de betrokkenen kunnen doen om zich te beschermen. Bijvoorbeeld bij een datalek door een verloren laptop of USB-stick, of door hun wachtwoorden te wijzigen en alert te zijn op phishing-mails.
Praktische tips om datalekken te voorkomen
Voorkomen is beter dan genezen. Hier zijn een paar praktische tips om datalekken te voorkomen.
Beveiliging op orde
Zorg dat je beveiliging up-to-date is. Gebruik sterke wachtwoorden, schakel tweefactorauthenticatie in en zorg dat je software regelmatig wordt bijgewerkt.
Medewerkers trainen
Ook het gebruik van versleutelde opslag kan helpen. Menselijke fouten zijn de grootste oorzaak van datalekken. Train je medewerkers regelmatig over veilig werken, bijvoorbeeld over het herkennen van phishing-mails en het veilig omgaan met persoonsgegevens. Test je systemen regelmatig op kwetsbaarheden. Dit kan met behulp van een penetration test, waarbij experts proberen binnen te dringen in je systemen om zwakke plekken te vinden.
Regelmatig testen
Conclusie
Een datalek is een serieus issue, maar het hoeft niet het einde van de wereld te zijn. Door te begrijpen wat een datalek is, wanneer je het moet melden en wat je kunt doen om het te voorkomen, kun je als bedrijf je verantwoordelijkheid nemen.
Onthoud: snel handelen is cruciaal. Dus, als je een lek ontdekt, dicht het direct, bepaal de impact en meld het op tijd.
Zo bescherm je niet alleen je klanten, maar ook je eigen bedrijf tegen reputatieschade en boetes.