Gestolen apparatuur en datalekken

door | jun 29, 2021

Gestolen apparatuur en datalekken

Wat moet je doen wanneer de laptop van een medewerker is gestolen?

 

Wanneer een medewerker door diefstal zijn mobiele telefoon of laptop is verloren, moet er direct een belletje gaan rinkelen. Hoogstwaarschijnlijk bevat het toestel allerlei persoonsgegevens van klanten. Omdat de gegevens nu in handen zijn van een onbevoegde is er sprake van een datalek. Volg voor een goede afwikkeling van zo’n situatie de volgende stappen:

Voer een risicobeoordeling uit.

Ga na of het datalek een risico voor de rechten en de vrijheden van de betrokkenen inhoudt. Loop de volgende vragen na:

Was het toestel vergrendeld? Het is voor de dief gemakkelijk om toegang te krijgen tot de persoonsgegevens wanneer het toestel niet is vergrendeld. Wanneer een niet-vergrendeld toestel wordt gestolen, betekent dit een verhoogd risico.

  • Om hoeveel betrokkenen gaat het? Het risico is groter naarmate er meer persoonsgegevens zijn gelekt.
  • Welke persoonsgegevens zijn in het geding? Heeft de dief beschikking over algemene of bijzondere persoonsgegevens? Bijzondere persoonsgegevens bevatten meer gevoelige informatie dan algemene persoonsgegevens. Wanneer er op een verkeerde manier met bijzondere persoonsgegevens wordt omgegaan, kan dit iemands privacy ernstig beïnvloeden.
  • Wat zijn de mogelijke gevolgen en de nadelige effecten van het datalek? Betrokken personen kunnen als gevolg van het datalek bijvoorbeeld te maken krijgen met identiteitsfraude of poging tot oplichting als er veel persoonsgegevens over hen beschikbaar zijn.

 

Ga na of je het datalek moet melden. Dit is afhankelijk van het resultaat van de risicobeoordeling.

 

  • Een datalek moet je altijd intern te registreren. Het is belangrijk om later te kunnen aan tonen dat je op de hoogte was van het datalek en welke stappen je hebt ondernomen om de risico’s te beperken.
  • Afhankelijk van het risico maak je de keuze om het datalek aan de betrokkenen en aan de Autoriteit Persoonsgegevens te melden. Wanneer je vaststelt dat er sprake is van een verwaarloosbaar risico, kun je ervoor kiezen om het datalek niet te melden. Leg in dat geval wel intern vast waarom en hoe je tot de keuze bent.
  • Als het risico niet te verwaarlozen is, maar ook niet noodzakelijk tot grote problemen zal leiden, is het in ieder geval verplicht het lek bij de Autoriteit Persoonsgegevens te melden. Wanneer het datalek waarschijnlijk ernstige gevolgen kan hebben voor de betrokkenen, ben je verplicht om ook de betrokken personen in te lichten.

 

Ga na of er nog iets is wat je kunt doen om de schade te beperken:

 

  • Beschikt het toestel over de optie om de gegevens op afstand te wissen? Wanneer dat het geval is, kunnen mogelijke gevolgen worden beperkt.
  • Is er een back-up van het toestel gemaakt? Op die manier kan de werknemer zijn werkzaamheden oppakken, zonder dat hij of zij de gegevens opnieuw moet opvragen.
  • Had dit datalek voorkomen kunnen worden? Zorg er bijvoorbeeld voor dat alle zakelijke toestellen worden vergrendeld met een wachtwoord en of een multi-factor authenticatie.

In onze specials over datalekken hebben we ook geschreven over:

👉 Datalek en vereerd bezorgde post.

👉 Identiteitsfraude

👉 Datalek door onoplettendheid

👉 Datalekken en patiëntgegevens

👉 Meldplicht bij datalekken

Basis training over datalekken.

Een praktische training, waarin alle aspecten van een datalek worden behandeld: de wettelijke context en de gestelde eisen, de meldplicht, afhandelen, registratie, etc. Na het doorlopen van de training begrijp je hoe de AVG aankijkt tegen het voorkomen en behandelen van datalekken.

Lees ook: