Een datalek. Wat nu?
Na een datalek, zoals een cyberhack, ransomwarebesmetting of DDoS-aanval, komt er veel op een organisatie af. Het incident moet worden gemeld bij de Autoriteit Persoonsgegevens, er moeten passende maatregelen worden genomen, en betrokkenen moeten worden geïnformeerd. Snel en zorgvuldig handelen is dan ook een must. Hoe werkt dat precies?
Wat direct te doen na een datalek
Voor organisaties die de gegevensbescherming op orde hebben en kunnen aantonen dat de organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) is een datalek geen reden tot paniek. Via de privacyboekhouding kan snel worden bepaald wat de mogelijke impact is.
Na een datalek is het wel noodzakelijk om snel te handelen. Het is van belang dat de aard, de duur en de omvang van het incident snel inzichtelijk worden. Kernvragen daarbij zijn: welke soort gegevens zijn (mogelijk) gelekt, is er sprake van verlies of onrechtmatige verwerking van deze gegevens en zijn de primaire bedrijfsprocessen verstoord?
Acties na een datalek
Volgens de AVG moet de Autoriteit Persoonsgegevens (AP) binnen 72 uur op de hoogte worden gesteld van een datalek. Daarnaast moeten betrokkenen zo snel mogelijk worden gewaarschuwd en geadviseerd over het voorkomen van (verdere) schade. Bij de melding aan de AP dient u een gedetailleerd verslag in te dienen over het incident, de manier waarop betrokkenen hierover zijn geïnformeerd en de technische en procedurele maatregelen die zijn genomen om herhaling te voorkomen.
Om binnen 72 uur adequaat te kunnen reageren op een datalek is veel informatie nodig. De privacyboekhouding is een goede basis om alle benodigde informatie tijdig bij elkaar te brengen..
FG Support is als externe FG in te schakelen om de melding bij de AP te doen en de verdere afhandeling van het datalek te regelen.
De privacyboekhouding is een goede basis om alle benodigde informatie voor een datalekmelding tijdig bij elkaar te brengen.
Sancties na een datalek
Op basis van de melding van een datalek kan de AP de verantwoordelijke organisatie een bindende aanwijzing geven of zelfs een sanctie, zoals een boete, opleggen.
In de praktijk zal de AP, als het een procedurele tekortkoming heeft geconstateerd, eerst een bindende aanwijzing afgeven. Een organisatie krijgt dan de mogelijkheid om de zaken op orde te brengen. De primaire doelstelling van de handhaving is immers om het beschermingsniveau van privacy te verhogen (en niet om hoge boetes uit te delen).
Als een organisatie de bindende aanwijzing naast zich neerlegt, op grove wijze de beginselen of grondslagen van de AVG overtreedt, of de rechten van de betrokkenen schendt, dan kan de AP een boete opleggen van maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet.
Meer weten?
Wilt u meer van weten over het voorkomen en afhandelen van datalekken? Neem gerust contact met ons op.