Verplichte beveiliging

‘Deel drie van missers in de AVG’

De AVG verplicht zowel Verantwoordelijken als Verwerkers om persoonsgegevens te beveiligen. Hierbij moet je rekening houden met onder andere:

• de stand van de techniek en de uitvoeringskosten van de beveiliging
• de verwerkingsdoelen
• de risico’s voor de betrokken personen

Dit is het derde deel van “Missers in de AVG”. Deel 1 gaat over de verwarring en het onbegrip rondom Verwerkers en Verwerkersverantwoordelijken.

De AVG noemt vervolgens ook nog een aantal maatregelen waar je over na moet denken, zoals (vrij vertaald) pseudonimisering, versleuteling van de gegevens, het maken van backups en het regelmatig controleren van de beveiliging.

 

Datalekken – inbreuk op de beveiliging

 

Zelfs als je werkelijk passende beveiliging invoert, is dat geen garantie dat er nooit iets mis gaat. Elke inbreuk in verband met persoonsgegevens wordt een datalek genoemd. Ook als er geen ernstige gevolgen zijn? Ja, ook dan heet de inbreuk een datalek. Zelfs het papiertje met een naam erop, dat op het kopeerapparaat blijft liggen, vormt feitelijk een datalek.

 

Verplichte melding van datalekken

 

Volgens de AVG moeten datalekken worden gemeld bij de Autoriteit Persoonsgegevens. Maar als iedereen elke inbreuk, hoe onschuldig ook, zou melden, dan zou er al snel een gigantische database zijn met voornamelijk onnozele meldingen. Daarom is er in de AVG gezegd, dat elk datalek moet worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat er een risico is voor de betrokken personen.

Dit geeft natuurlijk een boel speelruimte. Het vergeten papiertje op het kopieerapparaat hoeft dus misschien niet te worden gemeld aan de autoriteit.

Ook is er een meldingsplicht naar de betrokken personen. Deze verplichting is echter subtiel anders dan de meldingsplicht naar de Autoriteit Persoonsgegevens: als er waarschijnlijk een hoog risico is voor de betrokken personen, dan moet je het datalek ook melden aan de betrokken personen. Hiervoor gelden nog wel enkele uitzonderingen, waarvan de belangrijkste is: als het afzonderlijk mededelen onevenredige inspanningen zou vergen, is een openbare mededeling in de een of andere vorm voldoende.

Je moet een datalek dus vlugger melden bij de Autoriteit Persoonsgegevens dan bij de betrokken personen. Overigens kan de Autoriteit Persoonsgegevens je vervolgens verplichten alsnog het datalek ook aan de betrokkenen te melden.

Om zeker te weten of je een bepaalde inbreuk moet melden of niet, kun je het beste een specialist om raad vragen.

 

Melden is slechts één handeling van vele

 

Als je kijkt in het meldingenformulier van de Autoriteit Persoonsgegevens, dan kun je zien dat het melden zelf niet het enige is. Het beperken van de schade en het voorkomen dat het datalek zich herhaalt, is minstens even belangrijk.

Maar voordat je de melding doet, moet je eerst vaststellen, dat er überhaupt sprake is van een datalek.

 

 Datalek procedure als houvast

 

Wie onvoorbereid tegen een vermoedelijk datalek aanloopt, kan onaangenaam verrast worden.

Met een goede datalek procedure regel je zaken op een moment dat er niets aan de hand is. Je kunt in alle rust nadenken wat de beste oplossingen zijn voor elke situatie. Door de onderstaande punten systematisch te behandelen in één document, bouw je al snel een heel praktische datalek procedure:

 

Welke soorten datalekken kun je verwachten?

 

• Welke verschillende soorten datalekken kunnen er optreden? Bijvoorbeeld:
  • Een mail met persoonsgegevens die naar een verkeerde persoon wordt verzonden;
  • Een hacker die binnendringt in de server;
  • Een werknemer klikt op een link in een mail, waarna gijzelingssoftware in snel tempo bestanden gijzelt door ze te versleutelen;
  • Een harde schijf van een server gaat kapot en de backup blijkt niet bruikbaar, een database vol persoonsgegevens gaat verloren;
  • De server van een Verwerker is gehackt, en alle persoonsgegevens die deze Verwerker namens jou verwerkte, liggen op straat.
• Hoe kunnen de verschillende soorten datalekken worden opgemerkt? Bijvoorbeeld:
  • Met het juiste bewustzijnsniveau bij werknemers signaleren werknemers dat een mail met persoonsgegevens verkeerd verzonden is.
  • Met permanente en automatische monitoring van systemen worden hackers snel opgemerkt.
  • Met een goede verwerkersovereenkomst neemt de leverancier contact met jouw organisatie op, om te melden dat hun systeem met jouw gegevens er op is gehackt.

 Stoppen en afhandelen van het datalek

 

• Zijn er acties die je kunt nemen om het blijven lekken van data te stoppen? Je kunt bijvoorbeeld denken aan het loskoppelen van een computer of server van het netwerk.
• Welke acties kun je nemen om de schade te beperken? Kun je bestanden veilig stellen door ze op een andere server te zetten, door een server los te koppelen, door wachtwoorden onmiddellijk te resetten, etc.? Welke procedure is de snelste manier om deze acties uit te voeren? Zijn er standaard scripts voorhanden, waar kun je die vinden, en wie kan ze uitvoeren?

 

Rollen, verantwoordelijkheden en contactpersonen

 

• Wie voert de regie bij de afhandeling van het datalek? En wie helpt er bij het afhandelen van het datalek? Noteer welke rol iedereen heeft, zodat werk niet dubbel wordt uitgevoerd, of juist blijft liggen. Wie mag er met de ‘buitenwereld’ communiceren, en wie praat er met de directie en met de eigen werknemers?
• Zijn er andere partijen die je om hulp kunt of moet vragen, zoals je externe ICT beheerder? Welke personen kun je bereiken op welk telefoonnummer? Zijn deze nummers 24 x 7 bereikbaar, of gelden er buiten kantoortijden andere regels?

 

Melden van het datalek

 

• Als je zelf Verwerkersverantwoordelijke bent voor de gelekte gegevens, dan moet je bepalen of je het datalek moet melden bij de Autoriteit Persoonsgegevens. Denk er aan dat je dit in principe binnen 72 uur na vaststelling door de Verwerkingsverantwoordelijke van het feit dat er een datalek is aan de Autoriteit Persoonsgegevens moet worden gemeld. Dus niet binnen 72 uur na het optreden van het datalek, en ook niet binnen 72 uur nadat de Verwerker het datalek opmerkte. Hoor je van een Verwerker dat deze data van jou heeft gelekt, dan gaat de 72 uur pas in nadat jij van het datalek hebt gehoord.
• Bepaal ook of je het datalek moet melden bij de betrokken personen. Dit moet je ‘onverwijld’ doen. Deze term wordt in de AVG gebruikt, en is natuurlijk wel enigszins rekbaar. Het is beter om goed te weten wat er aan de hand is, dan de betrokkenen te melden dat ‘er iets is misgegaan, waarschijnlijk wel heel vervelend, maar we weten nog niet goed wat er aan de hand is.’ Zorg er voor dat je communicatie duidelijk en effectief is.
• Ben je Verwerker voor de gelekte gegevens? Dan mag je waarschijnlijk niet zelf melden bij de Autoriteit Persoonsgegevens of de betrokken personen, maar loopt dit allemaal via de Verantwoordelijke namens wie jij de gegevens verwerkt. Controleer dit zorgvuldig!
• Ook hier geldt: raadpleeg bij twijfel een specialist!

 

Communicatie

 

• Ben je zelf Verwerker voor de gelekte gegevens? Welke afspraken heb je dan met jouw klanten? Wanneer moet je ze melden dat er een datalek is, en wie moet je daarvoor bereiken? Waar is de lijst met namen en contactgegevens? Wat moet je doorgeven aan de klant?
• Het schrijven van een mail over een datalek moet zorgvuldig gebeuren. Overweeg of je al standaardmails kunt opstellen, die je alleen nog maar hoeft aan te passen aan de situatie. Heb je al een keer een datalek meegemaakt, dan kun je misschien de communicatie van dat datalek gebruiken om sjablonen te maken voor eventuele volgende datalekken.

 

Beschikbaarheid van de datalek procedure

 

• Bewaar de datalek procedure op een plek waar iedereen die betrokken kan zijn, hem makkelijk kan vinden. Zorg ook voor minstens één uitgeprinte versie op de IT-afdeling. Het is erg handig om tijdens het verzamelen van bewijs op papier aantekeningen te kunnen maken.
• Communiceer naar iedereen die betrokken kan worden bij de afhandeling van een datalek, dat er een nieuwe versie is en waar die kan worden gevonden.
• Zorg er voor dat tijdens vakanties de juiste achtervangers paraat staan, die ook weten war de benodigde informatie te vinden is.

 

Voor wie op zoek is naar een datalek procedure volgens ISO 27001

 

ISO 27001 is de internationale norm voor informatiebeveiliging. In deze norm is beheer van datalekken (informatiebeveiligingsincidenten volgens ISO 27001) een vast onderdeel. Voor veel organisaties is een datalek procedure volgens ISO 27001 wel erg zwaar. Voor wie op zoek is naar tips in relatie tot ISO 27001 zijn de volgende punten belangrijk:

• Benoem duidelijk de directieverantwoordelijkheden ten aanzien van het vaststellen van alle vereiste procedures.
• Benoem de procedure om het juiste personeel aan te stellen voor het behandelen van datalekken.
• Benoem doelstellingen voor het beheer van informatiebeveiligingsincidenten, en zorg voor bewijs dat deze met de directie zijn vastgesteld.
• Zorg voor bewijs dat werknemers en contractanten op de hoogte zijn van de vereiste procedure bij het vermoeden van een datalek. Zorg er voor dat er een vast aanspreekpunt is voor iedereen om (een vermoeden van) een datalek te melden.

 

Meer in de serie “Missers in de AVG”

Dit is het derde deel van “Missers in de AVG”.
Deel 1 gaat over de verwarring en het onbegrip rondom Verwerkers en Verwerkersverantwoordelijken.
Deel 2 gaat over het afschuiven van informatiebeveiliging.

Meer weten over datalek procedures?

Vul hieronder in ieder geval jouw naam en emailadres in, zodat we je vraag kunnen antwoorden.

Wil je liever gebeld worden? Vul dan je telefoonnummer in. Wij gebruiken jouw gegevens alleen maar om jouw vraag te kunnen beantwoorden. Kijk voor meer informatie naar ons privacy statement.