Help! Een datalek. Wat moet je doen?

Bijna wekelijks in het nieuws: een datalek. Iedereen weet inmiddels wel wat er met een datalek wordt bedoeld. Er is iets mis gegaan met persoonsgegevens. Maar hoe weet je of jij te maken hebt met een datalek? En wat moet je dan doen?

Een datalek herkennen

Er is per ongeluk iets mis gegaan met de beveiliging van data.En toen het mis ging, zijn er persoonsgegevens geraakt. Die zijn bijvoorbeeld kwijtgeraakt, gewist, of openbaar gemaakt aan personen die dat niet hadden mogen zien. In dat geval heb je te maken met een datalek, volgens onze Europese privacywet. En een datalek kan consequenties hebben voor de personen van wie de informatie is gelekt.

Iedere keer dat er iets mis gaat in jouw bedrijf met data, is het belangrijk om te controleren of persoonsgegevens hierdoor zijn geraakt. En wat de oorzaak en consequentie daar dan van is. Vaak is de beveiliging niet goed genoeg, of heeft een menselijke fout plaatsgevonden. En door die fout, zijn persoonsgegevens in handen gekomen van onbevoegden of juist kwijt geraakt, terwijl je ze nog nodig had.

De soorten datalekken

Er zijn allerlei verschillende soorten en maten datalekken. En zoveel als er soorten zijn, zoveel verschillende oorzaken kunnen er zijn. De EDPB (Het Europees Comité voor gegevensbescherming (European Data Protection Board)) geeft in haar praktische handleiding uitleg over de volgende soorten:

• Ransomware

Een kwaadaardige code versleutelt de persoonsgegevens. Vervolgens kan de aanvaller om losgeld vraagt in ruil voor de decoderingscode. 

• Cyberaanvallen om gegevens te onderscheppen

Aanvallen die misbruik maken van kwetsbaarheden in diensten via internet. Bijvoorbeeld door injectie-aanvallen. Deze aanvallen zijn er doorgaans op gericht om persoonsgegevens voor een kwaadaardig doel te kopiëren, vrij te geven en te gebruiken.

• Menselijke fouten

Expres of per ongeluk: menselijke fouten komen vaak voor. Denk aan een verkeerd verzonden e-mail, of het onbeheerd achterlaten van een ingelogde computer.

• Verloren of gestolen apparatuur en papieren documenten

Denk aan laptops, papieren dossiers, usb-sticks of SD-kaarten. Allerlei ‘gegevensdragers’ die persoonsgegevens kunnen bevatten.

• Verkeerd verzonden post

Per e-mail, per fysieke post of zelfs het deponeren in het verkeerde postvakje.

• Social engineering

Een combinatie van een cyberaanval en menselijk handelen. Social engineering is geen aanval op de techniek zelf, maar op de zwakste schakel: de mens. De aanvaller zal inspelen op de nieuwsgierigheid, het medelijden of de angst van de mens.

Een datalek behandelen

Een datalek brengt dus risico’s met zich voor de personen om wie het ging. Zo kan een datalek fysieke of immateriële schade tot gevolg hebben, doordat een persoon de controle kwijt is over zijn data of doordat zijn reputatie op het spel wordt gezet. Ook loopt hij het risico gediscrimineerd te worden, of het slachtoffer te worden van identiteitsfraude. Omdat de consequenties voor de personen om wie het gaat potentieel groot kunnen zijn, gelden er regels voor datalekken. Zo moet je ze goed analyseren, oorzaken achterhalen en moet je de risico’s afwegen voor de personen om wie het ging. Afhankelijk van de uitkomst van deze analyse moet je de Autoriteit Persoonsgegevens binnen 72 uur informeren, en soms ook de personen zelf. Maar in alle gevallen moet je registreren wat er mis is gegaan, en erbij aangeven wat je daarvan hebt geleerd. 

Hoe je dit aanpakt, moet je vooraf hebben bedacht. De EDPB zegt daarover dat iedere organisatie plannen en procedures moet hebben voor het afhandelen van eventuele datalekken. Wanneer binnen de organisatie duidelijk is welke procedures en personen betrokken moeten worden bij een datalek, kan snel worden geanticipeerd.Je moet dus een eigen handleiding voor het behandelen van datalekken hebben.