Wat houdt een datalek in en hoe voorkomt u schade?
Steeds vaker krijgen bedrijven te maken met een datalek. Zo kwamen afgelopen jaar miljoenen persoonsgegevens in handen van criminelen door een datalek bij de GGD. De gevolgen die uit een datalek voortvloeien, kunnen grote impact hebben op bedrijven. Vrijgekomen persoonsgegevens kunnen bijvoorbeeld gepubliceerd en verkocht worden. Dit kan lijden tot identiteitsfraude. Daarnaast kan bij een datalek gevoelige informatie over betaalwijzen of betaalmiddelen openbaar worden gemaakt, waardoor een risico ontstaat voor fraudegevoelige betalingen.
Dankzij de Algemene Verordening Gegevensbescherming (AVG) is iedereen meer bewust geworden van zijn of haar privacy. Dat komt doordat de Autoriteit Persoonsgegevens meer toezicht houdt op gegevensbescherming door bedrijven. Daarnaast wordt in de media meer aandacht besteed aan grote datalekken van bedrijven. Ook voor uw bedrijf kan het van belang zijn welke stappen welke stappen u moet ondernemen in het geval van een datalek.
In dit artikel wordt besproken wat een datalek inhoudt, hoe u deze kan voorkomen en hoe u in de toekomst schade kunt beperken door middel van bijvoorbeeld een datalekprotocol.
Wat is een datalek precies?
Tijdens een datalek worden opzettelijk of onopzettelijk persoonsgegevens vrijgegeven aan een niet-vertrouwde omgeving. Niet alleen kan het gaan om het vrijgeven van beveiligde informatie, ook kan een cyberaanval betrekking hebben op het vernietigen of wijzigen van gegevens binnen een organisatie. Een datalek kan worden veroorzaakt door een fout van het eigen personeel, door interne fouten in systemen of door cybercriminelen.
Het voorkomen van een datalek
Een meerderheid van de datalekken ontstaan door een fout van eigen personeel, een menselijke fout dus. Door uw medewerkers goed te instrueren en bewustwording te creëren, kunt u als bedrijf ervoor zorgen dat gevoelige gegevens op de juiste manier worden verwerkt.
Daarnaast is het belangrijk dat de gegevens op de juiste manier beveiligd worden. Zorg dat slechts geautoriseerde werknemers toegang hebben tot gevoelige data. Maak nooit gebruik van een openbaar netwerk, maar enkel van uw eigen beveiligde netwerk. Voorkom ook dat uw werknemers eigen software downloaden. Hierdoor loopt u het risico dat onveilige programma’s op uw apparaten terecht komen. Laat dit dus enkel doen door uw ICT-beheer binnen de organisatie.
Meldplicht
Als er sprake is van voldoende risico bent u verplicht een datalek te melden aan de Autoriteit Persoonsgegevens (AP). Zij stellen dat de melding uiterlijk binnen 72 uur na het datalek moet gebeuren. Indien het datalek ook grote risico’s met zich meebrengt voor de personen van wie gegevens zijn gelekt, dan dient u dat ook aan hen te melden.
Datalekprotocol
In een datalekprotocol legt u de procedure neer die moet worden ingezet op het moment dat zo een geval plaatsvindt binnen uw bedrijf. Omdat de AVG bepaalde verplichtingen oplegt als er sprake is van een datalek, moet u een stappenplan hebben die specifiek voor uw organisatie is gemaakt. Het is dus verstandig om hier als bedrijf bewust van te zijn en de juiste voorzorgsmaatregelen te nemen. Wij adviseren u daarom een datalekprotocol voor uw bedrijf op te laten stellen.
Young Law begrijpt de risico’s van een datalek voor uw onderneming. Onze gespecialiseerde juristen helpen u dan ook graag met het opstellen van de verwerkersovereenkomst en het daarbij horende datalekprotocol.
Bent u geïnteresseerd in onze verwerkersovereenkomst inclusief datalekprotocol of heeft u hierover vragen? Neem dan vooral contact met ons op door te mailen naar contact@younglaw.nl of te bellen naar +31 (0)85 065 47 37.
