Wat moet er gebeuren in het geval van een datalek en wat zijn de sancties?
10 augustus 2018Zelfs met alle voorzorgsmaatregelen kan er alsnog een datalek ontstaan. Bij datalekken is een organisatie verplicht dit te melden. De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal € 820.000 (Schie).
Preventie
Het handigst is natuurlijk een datalek te voorkomen. Daarom is het van belang te weten waar de risico’s zitten binnen in de organisatie. Tegen die risico’s kan dan vervolgens actie worden ondernomen. Om te beginnen moeten er een aantal aspecten in kaart worden gebracht:
- Systeem: overzicht van alle software en hardware
- Toegang: overzicht van wie waar toegang tot heeft
- Operationele taken: proces schema’s van de operationele taken
- Onderhoudstaken: proces schema’s van de onderhoudstaken.
Aan de hand van deze gegevens kan een risicoanalyse worden uitgevoerd. Vervolgens kan wanneer nodig maatregelen worden getroffen.
Datalekken
Handig is om voor datalekken een protocol te hebben, omdat dit de schade kan beperken en ook kan zorgen voor een lagere boete.
Aantal algemene stappen:
- Informeer support
- Bereid antwoorden voor op vragen voor support
- Informeer de jurist
- Als het niet duidelijk is waar het aan ligt, is het handig derden partijen erbij te betrekken. Zoals juristen, verzekering, pr-bureau en analisten.
- Binnen 72 uur de autoriteit van persoonsgegevens op de hoogte stellen.
- Informeren van de slachtoffers
Aan de autoriteit van persoonsgegevens moet een datalek notificatie worden gestuurd. De notificatie bestaat uit de volgende onderdelen:
- Aantal mensen en gegevens in betrekking hebben
- FG-contact informatie
- Consequentie analyse
- Voorgestelde maatregelen
Wanneer nog niet alle informatie bekend is, is het ook mogelijk de informatie in fases op te leveren. Reputatie is heel belangrijk bij dit soort zaken, pr-bureau kunnen hier handig bij zijn. Gemiddeld gaat 29% van de bestaande klanten gaat weg bij een bedrijf na een datalek. Pr-bureau kan helpen met van te voor gemaakte meldingen en andere zaken:
- Melding e-mail richten slachtoffers.
- Social media
- Website
- Crisismanagement
- Terugwinnen van vertrouwen
Datalek minimaliseren
Om erachter te komen om er een datalek is, is het handig om monitoring en alert applicatie geïnstalleerd te hebben. Als een datalek toch voorkomt is het zaak de schade te minimaliseren. Daarom is het handig om procedures klaar te hebben. Door de procedures weten de betrokken medewerker wat hun rol is en wat zij moeten ondernemen. Dit zorgt in een stressvolle situatie voor een efficiëntere werkwijze. Het gaat hier vooral om faal- en herstelprocedures. Daarnaast is het makkelijk om een overzicht te hebben met alle contact gegevens van de dataobjecten, dit schilt ook weer tijd wanneer de dataobjecten geïnformeerd moeten worden. Bij de protocollen moeten ook rollen verdeeld zijn. Incident response (IR) wordt dit ook wel genoemd.
Dit team houdt zich bezig met vier zaken:
- Vermijden of minimaliseren van schade aan de klant
- Vermijden of minimaliseren van verlies aan het bedrijf (financieel verlies en kosten van het verzachten van de datalek).
- Rekening houden met de wettelijke eisen, om boetes te voorkomen
- Zorgen dat de datalek in de toekomst niet meer plaats vindt.
Aangezien tijd heel belangrijk is bij een datalek, is een incident manager van belang. Het doel van de incident manager is het achterhalen van de oorzaak en zo snel mogelijk op te lossen. Daarom is het van belang een incident manager te benoemen, hij/zij leidt het incident response team.
Maak een respons plan:
- Meldingen
- Vernieuwen
- Documenteren
- In het aanbeveling rapport staat dit nader uitgewerkt.
Als het bedrijf niet de mogelijkheid heeft om zelf een risicoanalyse te doen en datalekken zelf op te lossen, kan er gebruik gemaakt worden van forensisch analisten. De analisten hebben veel ervaring op het gebied van datalekken en voeren een dreigingen en zwakteanalyse voor het bedrijf uit. Als er dan toch een datalek plaatsvindt reageren ze snel en hebben een neutrale kijk op het incident. Ook is er dan een kans dat de autoriteit van persoonsgegevens coulanter is bij het geven van boetes.
Boetes
Dit zijn de boetes die bedrijven kunnen ontvangen als de wetgeving wordt overtreden.
Laag | Hoog |
€10 miljoen | €20 miljoen |
2% totale jaarlijkse omzet | 4% totale jaarlijkse omzet |
Boete wordt bepaald aan de hand van de volgende factoren:
- Overzicht
- Verzachting
- Preventie
- Geschiedenis
- Bedrijf
- Soort gegevens
- Melding
Conclusie
Dat sancties bij een datalek zijn erg hoog, daarom is het heel belangrijk alles er aan te doen het te voorkomen. Als het dan toch voorkomt is het zaak de datalek te minimaliseren. Dit kan ervoor zorgen dat de boete lager wordt. Het moet binnen 72 uur aan de Autoriteit Persoonsgegevens zijn gemeld.