Help een datalek – procedure meldplicht datalekken

Bijna elke organisatie in Nederland verwerkt persoonsgegevens en moet zich dus houden aan de privacywetgeving. Deze privacywetgeving verplicht bedrijven om een procedure te hebben voor het melden van datalekken. Op het niet melden van lekken staat namelijk een hoge boete. In dit artikel hebben we een voorbeeldprocedure geschreven geschikt voor de meeste bedrijven.(dit artikel is geschreven in 2027 en laatst bijgewerkt in 2023).

Waarom een procedure meldplicht datalekken

Nederland heeft meerdere privacywetten. Sinds 2001 geldt de wet bescherming persoonsgegevens. In 2016 is hier de meldplicht datalekken aan toegevoegd. Vanaf mei 2018 geldt ook de Algemene Verordening Gegevensbescherming (AVG), de Nederlandse versie van de General Data Protection Regulation (GDPR). Sinds 2016 geldt er een verplichting voor bedrijven om alle datalekken waarbij persoonsgegevens betrokken zijn te melden. Het gaat om een dubbele meldplicht. Ten eerste aan de overheid (de Autoriteit Persoonsgegevens) zodat deze inzicht heeft hoe vaak datalekken voorkomen. Ten tweede aan de personen van wie de data gelekt is, zodat zij eventueel maatregelen kunnen nemen.

Het is niet wettelijk verplicht om een procedure te hebben, maar wij raden dat wel sterk aan. Zonder procedure is de kans groot dat er teveel tijd verloren gaat. Voor bedrijven die een gecertificeerd beveiligingsbeleid willen (volgens ISO 27001 of Security Verified) is het opstellen van een procedure daarom wel verplicht. De procedure hoeft niet opgestuurd te worden. Het is voldoende als deze binnen de organisatie bekend is.

Wie kan deze procedure gebruiken

De onderstaande procedure is geschikt voor alle Nederlandse organisaties die geen financiële instelling zijn en geen telecombedrijf. De procedure is ooit gemaakt op basis van de richtsnoeren van de autoriteit persoonsgegevens zelf en komt ook overeen met de nieuwste handleiding AVG 2023. We raden iedereen aan deze beiden te lezen, omdat er goede voorbeelden genoemd zijn voor de te nemen besluiten.

Stap 0: definities datalekken

De volgende definities zijn gebaseerd op de richtsnoeren meldplicht datalekken van de autoriteit persoonsgegevens. Het securityteam moet deze definities kennen en toepassen.

• Een incident is een concrete gebeurtenis waarbij de beschikbaarheid, confidentialiteit of integriteit van een informatie-asset is geschonden. Niet elk incident is een datalek. Het is wel verstandig elk incident te loggen en te analyseren.
• Een datalek is een incident waarbij er persoonsgegevens verloren zijn gegaan of als er onrechtmatige verwerking heeft plaatsgevonden.
• Een persoonsgegeven is elk gegeven dat herleidbaar is tot een natuurlijk persoon. Denk aan email, telefoonnummer, voornaam_achternaam, huisadres, kenteken, IP-nummer, bankrekeningnummer, MAC-adres, foto’s met gezichten erop, inkomen, geboortedatum. Niet persoongegevens zijn gemiddeldes over grotere groepen.

Elk incident moet worden gemeld bij het securityteam en wordt door het team gelogd en bestudeerd. Zij bepalen of er sprake is van een datalek.

Stap 1: Melden van datalekken aan securityteam

Iedereen in de organisatie die werkt met persoonsgegevens, moet weten dat er een meldplicht datalekken is en dat zij een incident of datalek direct moeten melden. Veel organisaties hebben een securityteam van 2-3 mensen en maken een speciaal email-adres voor dit team. Als er geen team is, dan moet iedereen melden bij de directie. Het is verstandig deze informatie op te nemen in security-trainingen, in personeelshandboeken en wellicht op te hangen bij de koffie-automaat. Op deze manier weet iedereen hoe te melden.

Stap 2: vastleggen en analyseren

Vastleggen en uitzoeken: Het securityteam (of de directie) logt het incident, bestudeert het incident. Zoek uit wat er wanneer en waar is gebeurd en welke apparatuur en partijen hierbij betrokken zijn geweest.

Directe actie: Indien nodig, neem direct actie om het lek te dichten of te stoppen. Denk aan uitzetten servers, blokkeren accounts of verwijderen gevoelige data.

Besluit persoonsgegevens: Het team bepaalt welke persoonsgegevens van hoeveel en welke personen er betrokken zijn. Als uitkomst hiervan wordt het aantal personen vastgelegd, welke soorten gegevens en of er sprake is van bijzondere gegevens.

Bepaal de verantwoordelijke: Het team bepaalt wie de verantwoordelijke voor de gegevens is. Dit wordt bepaald door na te gaan hoe de gegevens zijn verkregen en door bestudering van alle bewerkers-overeenkomsten waaronder de gegevens zijn doorgegeven. De verantwoordelijk kan een klant zijn, of de organisatie zelf.

Bepaal uitsluitbaarheid: Soms is het redelijkerwijs uit te sluiten is dat persoonsgegevens onrechtmatig zijn verwerkt. Dit is bijvoorbeeld het geval bij diefstal van een laptop die voorzien is van sterke encryptie. Goede encryptie leidt tot uitsluitbaarheid. Zonder goede encryptie is er geen uitsluitbaarheid.

Stap 3a: Melden als verwerker

Heel vaak is de organisatie die een datalek ontdekt, niet zelf verantwoordelijk  voor het melden van een datalek. Als u IT-leverancier bent, zult u meestalpersoonsgevevens alleen via een opdrachtgever krijgen de bepaalt de opdrachtgever hoe de gegevens worden verwerkt. In dat geval bent u een verwerker en is de opdrachtgever de verantwoordelijke. U moet dan de opdrachtgever waarschuwen en deze moet besluiten of er een melding aan de AP moet worden gedaan. In de verplichte verwerkersovereenkomst staat wie de verantwoordelijke is en hoe een melding moet worden gedaan. De organisatie volgt verder alleen de instructies van de verantwoordelijke.

Stap 3b: Melden als verantwoordelijke

Als er sprake is van een niet uitsluitbaar datalek en de organisatie verantwoordelijke is, dan doet het security-team het volgende:

• Op de hoogte brengen overige directie en eventueel juridische zaken, zoadat zij kunnen meedenken over communicatie.
• Afronden onderzoek en goed vastleggen uitkomsten in een apart indicentrapport
• Inschatten ernst incident: Een incident is ernstig als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Een incident met gevoelige persoonsgegevens is altijd ernstig, ook met 1 persoon. Een incident zonder gevoelige persoonsgegevens is ernstig bij een voldoende omvang.
  Toetsen van het incident aan de voorbeelden op pagina 26 van de richtsnoeren. Eventueel oordeel of datalek ernstig is bijstellen.
• Als het datalek ernstig is, dan moet het incident via het webformulier gemeld worden bij de Autoriteit Persoonsgegevens. Dit moet indien mogelijk binnen 72 uur na ontdekking.
• Het security-team schat in of het melden aan betrokkenen mogelijk is en of een melding eventueel nadelige gevolgen heeft voor de betrokken persoon. Als het mogelijk is om te melden, dit geen nadelen heeft voor betrokkenen en er geen sprake is van goede encryptie, worden het datalek gemeld aan betrokkenen.
• Het securityteam denkt na over verbeteringen die toekomstige datalekken kunnen voorkomen. Dit hoeft niet direct maar kan bijvoorbeeld elke maand gebeuren.

Stap 4: Review elk half jaar

De gegevens van het incident, alle besluiten en de melding worden bewaard als onderdeel van het ISMS door het information security team. Meldingen moeten minimaal een jaar worden bewaard. Het is verstandig regelmatig alle meldingen te reviewen om te zken

Stap 5: Voorbereid zijn op datalekken

Het melden van een datalek is een stuk makkelijker als men zich goed voorbereidt. De volgende stappen kunt u nu al nemen om het risico van datalekken te verkleinen:

• Het in kaart brengen van processen waarin persoonsgegevens worden gebruikt. Per proces moet uitgezocht worden om wat voor persoonsgegevens het gaat. U vult dit in en houdt dit bij in het verplichte register van verwerkingsactiviteiten.
• Zorgen dat er altijd een verwerkersovereenkomst is met elke organisatie waarmee persoonsgegevens worden gedeeld. Dit is wettelijk verplicht en zorgt voor duidelijkheid over wie er moet melden.
•  Zorgen voor goede beveiliging van de organisatie. Dit kan bijvoorbeeld door het opzetten van een Informatiebeveiligingsbeleid volgens ISO 27001. Eventueel kan dit ook gecertificeerd worden.
•  Training: Door het regelmatig geven van security awareness training wordt iedereen goed op de hoogte gebracht van het belang van beveiliging. Het geven van trainingen aan iedereen is vaak een verplicht onderdeel van goed beveiligingsbeleid. Dit geldt bijvoorbeeld als u wilt voldoen aan ISO 27001 of aan Security Verified.

Als u hulp wilt met deze voorbereidingen of met een melding, neem gerust contact op. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Bron afbeelding: Eric Miller World Bank CC via Flickr