Meldplicht datalekken
Een datalek, wat nu?
Volgens de Autoriteit Persoonsgegevens (AP) ben je verplicht een datalek te melden. Maar wanneer ben je dit nu verplicht, wat zijn de gevolgen, welke stappen moet je ondernemen om deze melding officieel te maken en wat gebeurt er als je deze melding achterwege laat?
Wanneer ben je verplicht een datalek te melden bij het AP
Hier heb ik lang naar gezocht en zoals met de meeste wetgeving is dit absoluut niet duidelijk. Sterker nog, de Nederlandse richtlijnen die aangeven wanneer je nu wel of niet je datalek moet melden zijn bij het schrijven van dit artikel nog niet in het Nederlands beschikbaar. Deze informatie dient uit de Europese richtlijnen gehaald te worden, die je via deze link kan downloaden. De Europese richtlijn is echter minder zwaar dan de Nederlandse, zoals ook in het artikel staat vermeld. Kort gezegd geldt dat je in Nederland ieder verlies van data wat terug te herleiden is naar een natuurlijk persoon, zal moeten melden. Of dit nu komt door ransomware, een crash of diefstal van computers, verlies van een USB stick of hack van een website of computersysteem maakt niet uit. Zodra er persoonlijke data bij betrokken is, kan er dus meldplicht zijn.
Als je een melding moet maken van een datalek, zal je altijd een verwerkingsregister en een datalekregister moeten meesturen. Zorg er dus voor dat je die op voorhand al hebt, want ook bij een controle moet je die kunnen overhandigen.
Wat zijn de gevolgen van een datalek
Dit hangt af van de ernst van de gelekte data en de schade voor de betrokkenen. Stel dat je website wordt gehackt. In je website staat een formulier waarin je een naam, adres en e-mailadres vraagt. Als deze informatie gestolen wordt, valt dit onder laag risico. Echter, het risico wordt opgeschaald als je ook om geslacht en leeftijd vraagt. Als je klant bijvoorbeeld ook een datum van een gebeurtenis kan invullen, waarbij hij/zij aanwezig is, heeft deze data een hoog risico. Een hacker heeft nu een adres en een datum waarop je klant niet thuis is. Dit kan gebruikt worden om een inbraak te plegen. Het gaat er dus niet om dat de inbraak werkelijk wordt gepleegd, maar om het risico ervan.
Elk risiconiveau heeft eigen maatregelen. Het AP zal deze aan je melden. Het is echter beter om het AP voor te zijn. Hoe meer zij jou moeten melden, hoe meer zij het gevoel krijgen dat jij persoonlijke data niet serieus neemt, en in die gevallen kunnen ze het je flink lastig maken. Bij een laag risico hoef je alleen het volgende te documenteren en melden binnen 72 uur: de oorzaak, de genomen maatregelen en wat voor data er is gelekt. Bij een hoog risico moet je alle mensen waarschuwen waarvan data gelekt is, zodat de betrokkenen desgewenst maatregelen kunnen nemen.
Als het een ernstig lek betreft kan het AP een onderzoek instellen. De kans op controle wordt groter als je klantgegevens in de volgende categorieën bijhoudt en verzamelt: medische, juridische, strafrechtelijke, religeuze, sexuele voorkeur, bank- of betaalgegevens. Bij een controle kan het zelfs voorkomen dat je je moet verantwoorden voor een rechter. Mocht je met een lek te maken krijgen of mocht je dit vermoeden, meld het ons direct. Een melding doen aan het AP kost geen geld.
Ik vermoed een datalek, welke stappen moet ik ondernemen?
- Blijf kalm, een veiligheidsrisico is niet altijd een datalek. Onderneem actie en onderzoek of er een meldplicht is. Hanteer hierbij het onderstaande diagram.
- Licht eerst alle betrokkenen in. Is het je website die gehackt is, meld dit dan aan Roland Roijter van Roijter IT Solutions. Wij kunnen direct maatregelen nemen om de hack zo snel mogelijk op te lossen. Tevens kunnen wij zien of er echt toegang is geweest tot de data binnen je website.
- Als blijkt dat er een datalek is geweest, dan stellen wij je hiervan op de hoogte en vertellen je wat je moet doen. Pas nu weet je zeker dat het om een datalek gaat en vanaf dit moment gaat de 72-uurs meldplicht in.
- Wij stellen samen met jou de documentatie op die aan het AP moet worden overhandigd en zorgen voor een goede en duidelijke melding van je datalek.
- Indien nodig lichten wij alle betrokken klanten in, zodat zij de vereiste maatregelen kunnen treffen.
Wat zijn de gevolgen als ik het lek niet meld?
Als je besluit om je datalek niet te melden en het AP wordt op de een of andere manier toch ingelicht, dan kunnen de boetes oplopen tot € 10.000.000 of 2% van je totale wereldwijde bruto inkomen. Daarnaast zal het AP je datalek altijd publiceren als je deze niet zelf hebt gemeld, waardoor de bijkomende schade veel groter is. Dit zijn sancties waar je absoluut niet op zit te wachten.
Wat gebeurt er als je een melding doet die achteraf toch geen datalek is? Stel, je doet een melding van het verlies van een USB stick, waarop je volledige klantenbestand staat, maar 2 dagen later vind je deze terug in een bureaula. Je meldt bij het AP dat de USB stick teruggevonden is. Aan dergelijke meldingen zijn geen kosten verbonden. Kortom, bij twijfel kan je beter melden. Zo blijf je het AP een stap voor en voorkom je erger.
Hoe groot zijn mijn risico's op een datalek?
Deze zijn niet heel groot, zolang je je maar bewust bent van de risico's en de waarde van je data. Ja, je moet maatregelen nemen, hoe meer, hoe beter. Welke maatregelen?
- Zorg ervoor dat je computer voorzien is van de laatste updates;
- Gebruik je Windows, zorg dan dat je een goede commerciële virusscanner en firewall installeert. Ook bij het gebruik van een Apple computer is dit aan te raden. Mede door de populariteit van de iPad en iPhone worden de risico's op virussen en hacks ook voor deze gebruikers steeds groter.
- Gebruik je een laptop waarmee je ook buiten je kantoor werkt, dan is een versleuteling of gebruik van een yubiKey aan te raden.
- Zorg voor goede backups van je systeem.
Niet alle maatregelen zijn zelf te nemen, bijvoorbeeld als het je website betreft. Roijter IT Solutions bouwt alle websites met een hoge veiligheidsnorm. Ook de hosting die wij gebruiken is beter beveiligd dan de standaard shared hosting. Een hack kan je nooit 100% voorkomen, maar je kan het ze wel zo moeilijk mogelijk maken. Het aantal hackpogingen neemt drastisch toe. Gelukkig zijn onze beveiligingsmaatregelen zo goed ingesteld, dat het bij hackpogingen blijft. Toch kan je zelf ook wat doen:
- Zorg voor goede wachtwoorden. Een goed wachtwoord beschikt over hoofd- en kleine letters, leestekens, nummers en bestaat minimaal uit 8 karakters. Het is echter beter om 20 karakters te kiezen;
- Hoe lastig het ook is, gebruik voor iedere site een uniek wachtwoord;
- Maak gebruik van een wachtwoordprogramma. Hiermee kan je op een goede manier je wachtwoorden versleuteld beheren. Wijzelf hebben erg goede ervaringen met KeePass2. Dit werkt goed onder zowel Windows als Linux en is gratis te gebruiken. Het grote voordeel van dit systeem is dat je je wachtwoordbestand op een server kan plaatsen, waardoor je met al je computers hetzelfde wachtwoordbestand kan inzien. Dit is zeker handig als je meerdere computers gebruikt;
- Verander bij de minste twijfel je wachtwoord;
- Maak binnen je site accounts aan voor al je medewerkers die met de site werken. Laat ze niet werken op eenzelfde account.
Mocht je meer vragen hebben over de AVG, neem dan contact op.