We hebben een datalek, wat nu?
We hebben een datalek, wat nu?
Nu en dan duikt er in de media een bericht op over een ziekenhuis dat per ongeluk patiëntinformatie naar verkeerde adressen heeft gestuurd. Of je leest over een overheidsinstantie die bij een breed verspreide e-mail onbedoeld een bijlage heeft gevoegd met de persoonsgegevens van duizenden mensen. Ook zijn er de incidenten met gestolen of verloren laptops en usb-sticks waarop persoonlijke informatie staat.
Wel of geen datalek?
Elke organisatie wil dit soort situaties voorkomen, zeker met de privacywet AVG in het achterhoofd. Maar wacht even, zijn al die berichten in de media wel echte datalekken? Hierover bestaan veel misverstanden.
De Autoriteit Persoonsgegevens (AP) heeft ooit een lijvig document opgesteld over datalekken. Wie bij een incident twijfelt, pakt er pagina 19 bij. Een schema toont drie eenvoudige vragen:
- Is er sprake van een inbreuk op de beveiliging?
- Zijn bij de inbreuk persoonsgegevens verloren gegaan?
- Kan ik redelijkerwijs uitsluiten dat de persoonsgegevens onrechtmatig zijn verwerkt?
Vraag 1 zal meestal met ‘ja’ beantwoord worden. Immers, een niet gevolgde beveiligingsprocedure, een zoekgeraakte usb-stick, een virusbesmetting, een inbraak door een hacker; het valt allemaal onder inbreuk op de beveiliging. Maar het betekent níet automatisch een datalek. Hiervoor moet ook op vraag 2 of op vraag 3 het antwoord ‘ja’ volgen.
Datalek: alleen bij persoonsgegevens
Vraag 2 maakt duidelijk dat een datalek alleen over persoonsgegevens gaat. Komt er onbedoeld financiële informatie naar buiten, of beursgegevens, of de verhuizing van een hoofdkantoor of het geheime recept van Coca Cola? Dit is een informatiebeveiligingsincident, geen datalek.
Een ander aandachtspunt bij deze vraag is het woord ‘verloren’. Wat wordt hiermee bedoeld? In feite moet je dit heel letterlijk lezen. Stel een usb-stick of laptop wordt gestolen. Als de persoonsgegevens die hierop staan, elders te achterhalen zijn (bijvoorbeeld via een back-up), dan zijn ze niet ‘verloren’.
Datalek: onrechtmatige verwerking
Heb je vraag 1 en vraag 2 met ‘nee’ beantwoord, dan is er dus nog steeds geen sprake van een datalek. Vraag 3 kan daar verandering in brengen. Nu komen we bij het redelijkerwijs uitsluiten van onrechtmatige verwerking. In het voorbeeld van de per ongeluk verzonden bijlage met persoonsgegevens, is de situatie helder. Die bijlage is voor iedereen te openen en de gegevens zijn dus gemakkelijk te misbruiken. Datalek? Ja.
Een gestolen, maar goed beveiligde laptop is een ander verhaal. Het is niet aannemelijk dat een dief zomaar een toegangscode en de versleuteling van documenten omzeilt. Je kunt in dit geval redelijkerwijs uitsluiten dat persoonsgegevens onrechtmatig worden verwerkt. Datalek? Nee. Hetzelfde geldt voor een hackeraanval. Als een organisatie heeft gezorgd voor het coderen van de harde schijf, is de informatie optimaal beschermd. Aandacht voor veilig werken loont!
Datalek melden
Een datalek moet verplicht gemeld worden bij de Autoriteit Persoonsgegevens. Dat hoeft alleen als sprake is van ‘een risico voor de rechten en vrijheden van alle betrokkenen’. In 2017 kwamen er 10.000 meldingen van datalekken binnen, met name van organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Daar zitten ook onterechte meldingen bij, omdat nog veel mensen een beveiligingsincident verwarren met een datalek.
Dat bij twijfel het zekere voor het onzekere wordt genomen, is begrijpelijk. De AVG heeft de meldplicht datalek, die al bestaat sinds 2016, opnieuw onder de aandacht gebracht. In de AVG is de registratie van datalekken aangescherpt en zijn de boetes verhoogd. Mensen zijn hierdoor alerter en voorzichtiger geworden.
Onderzoek naar datalek
In de praktijk krijg ik regelmatig de vraag: ‘Ik denk dat we een datalek hebben, wat moet ik nu doen?’. Mijn advies: onderzoek eerst wat er precies aan de hand is, zodat je weet waar je het over hebt. Op de website van de Autoriteit Persoonsgegevens is volop informatie te vinden. En is er een functionaris voor de gegevensbescherming (FG) of een privacy officer in huis, betrek die er dan bij.
Houd er rekening mee dat je een datalek binnen 72 uur moet melden. Bij twijfel: gewoon melden en doorgaan met onderzoeken. Bij loos alarm kun je de melding wijzigen of intrekken. Als blijkt dat er inderdaad sprake is van het (mogelijk) schaden van de privacy van personen, moeten uiteraard ook de direct betrokkenen geïnformeerd worden.
Datalek voorkomen
Voorkomen is beter dan genezen. Mijn belangrijkste adviezen: zorg dat je je beveiliging op orde hebt en verzamel geen persoonsgegevens als daar geen reden of juridische grondslag voor is. Wat je niet hebt, hoef je ook niet te beveiligen. Als je toch gegevens moet verzamelen, ga er dan zo min mogelijk mee ‘slepen’. Berg ze op in een beveiligd systeem, laat ze daar en geef zo min mogelijk mensen toegang. Bij sommige apparaten, bijvoorbeeld printers, kun je vooraf beveiligingsmaatregelen laten inbouwen. Dit heet privacy by design.
Ook bewustwording bij medewerkers kan een datalek voorkomen. Kweek awareness over informatiebeveiliging en blijf dit voeden, bijvoorbeeld via opleidingen.
Slot op de deur
Waar we het nog niet over hebben gehad, zijn fysieke documenten. Veel organisaties zetten in op het digitaliseren van hun archief, maar er liggen nog kilometers papieren documenten die ook persoonsgegevens bevatten. Zo’n archief valt eveneens onder de AVG en vormt een risico op een datalek. Zorg dus ook hier voor afdoende beveiligingsmaatregelen, op z’n minst een stevig slot of een kluis!