Datalekken, wat leren we ervan?

20.881 datalekken zijn er in 2018 aan de Autoriteit Persoonsgegevens gemeld. Vooral vanuit de sectoren gezondheid en welzijn, financiële en zakelijke dienstverlening, IT en openbaar bestuur. Wat kunnen we ervan leren?

Steven Akse
Steven Akse

De meest voorkomende type datalekken betroffen:

  • Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Dit kan bijvoorbeeld een e-mail zijn met persoonsgegevens die naar een verkeerde persoon wordt gestuurd, bijvoorbeeld door een typefout. Of een brief met gevoelige gegevens die bij de verkeerde persoon terecht is gekomen en is geopend.
  • Het kwijtraken van papieren of de diefstal van een gegevensdrager, zoals een laptop of usb-stick.
  • Verlies van gegevens door hacking, phishing of malware.

Phishing en malware

Bij phishing kan het gaan om organisaties die bestookt worden met nepmails die afkomstig lijken van een betrouwbare partij, zoals een zakelijke relatie.

Wanneer een medewerker van de organisatie klikt op een link in de nep e-mail of een bijlage in de nepmail opent, kan daardoor een virus worden geïnstalleerd.

Ook kan gevraagd worden om het wachtwoord van een account te wijzigen, waarna je doorgeleid wordt naar een nepwebsite waar de ingevoerde gegevens worden onderschept.

Ransomware is een type malware dat alle gegevens op het systeem versleutelt en ervoor zorgt dat deze gegevens niet meer toegankelijk zijn.

Vaak wordt daarna betaling geëist om de persoonsgegevens weer vrij te geven, bijvoorbeeld via prepaidkaarten of Bitcoins.

Gegevens datalek

De soorten persoonsgegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens (naam, adres, woonplaats), BSN- en medische gegevens.

Waarschuwing Autoriteit Persoonsgegevens

In 2018 gaf de Autoriteit Persoonsgegevens (AP) in veel gevallen organisaties uitleg over te nemen beveiligingsmaatregelen.

Daarnaast ondernam de AP acties zoals een waarschuwing en aansturen op het beëindiging van de overtreding.

In het bijzonder schenkt de AP in 2019 aandacht aan het ten onrechte niet melden van datalekken aan betrokkenen of aan de AP en aan het te laat melden van een datalek.

Niet alle meldplichtige datalekken worden door organisaties gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen melding maken van een datalek, terwijl dat door de organisatie zelf niet is gedaan. Het is dus belangrijk hier aandacht voor te hebben.

Boete Uber

In november 2018 legde de AP vervoersdienst Uber een boete op van € 600.000 voor het willens en wetens te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.

Wat kunt u doen?

Belangrijke zaken die u binnen uw organisatie op moet pakken, zijn:

  • Blijf aandacht geven aan het vergroten van het bewustzijn bij uw medewerkers met betrekking tot het verwerken van persoonsgegevens en de risico’s die gepaard gaan met de verwerking ervan.
  • Mocht het een keer fout gaan, zorg dan dat medewerkers het beveiligingsincident/datalek ook daadwerkelijk melden bij de intern verantwoordelijke hiervoor. Voorkom dat u wordt aangeschreven door de AP over een datalek binnen uw organisatie waar u zelf geen weet van hebt.
  • Zorg dat er een interne procedure voor het omgaan met datalekken is, zodat u precies weet wat u moet doen bij een datalek. Er loopt bijvoorbeeld een maximale aanmeldtermijn van 72 uur.
  • Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze periodiek en beoordeel wat u op basis hiervan kunt verbeteren binnen uw bedrijf.

Wat schrijft de AVG voor?

De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de AP.

In sommige situaties moet u ook de betrokkenen (bijvoorbeeld de klanten of werknemers) bij het datalek informeren.

Wat is een datalek?

Een datalek wordt omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Wat moet u doen bij een datalek?

Enkele verplichtingen nog even op een rij:

  1. Als er een datalek heeft plaatsgevonden, moet u deze binnen 72 uur melden bij de AP. Gebruik hiervoor het digitale meldingsformulier op de website van de AP.
  2. U hoeft een datalek niet te melden als het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.
  3. Informeer de betrokkenen wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de personen. Dit hoeft niet als u de persoonsgegevens onbegrijpelijk heeft gemaakt, zoals door versleuteling van gegevens.
  4. Een (sub)verwerker, zoals een leverancier of serviceprovider, moet u informeren over het datalek, zodat u de AP tijdig kunt informeren.
  5. Documenteer alle datalekken met de feiten over de inbreuk, de gevolgen daarvan en de genomen maatregelen. Dit betreft zowel datalekken die u niet heeft gemeld aan de AP als datalekken die u wel heeft gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister

Wilt u meer informatie over dit onderwerp? Neem dan contact met ons op 

Whitepaper

AVG: loopt u nog risico?