Een plan voor het ergste geval.

Security Cyber

De algemene verordening gegevensbescherming (AVG) stelt organisaties verplicht om een datalek protocol in te stellen. Weinig organisaties hebben dit nog gedaan. Wat blijkt? Bedrijven handelen pas nadat een lek zich heeft voorgedaan. Dat lijkt niet heel erg handig. Een datalek brengt immers imagoschade met zich mee. Het is daarom een goede zaak om vooraf al na te denken over de stappen die genomen moeten worden bij het voordoen van een datalek.

Datalek

Een datalek is een lek in de beveiliging waardoor allerlei persoonsgegevens op straat komen te liggen. Een verloren memorystick is een bekend voorbeeld. Maar ook een verkeerd uitgestuurde mailbericht met gevoelige informatie erin. Een ander goed voorbeeld om de impact van een datalek te illustreren is toch wel de datalek van de overspel-dating-site ‘Ashley Madison.’ De datalek van de hiervoor genoemde website heeft ervoor gezorgd dat data van duizenden gebruikers openbaar werd gemaakt. Dit had desastreuze gevolgen voor de website zelf..maar ook voor veel gebruikers.

Het is daarom van uiterst belang dat bedrijven een datalek protocol hebben opgesteld. Een datalek protocol geeft bedrijven immers een actieplan waarmee een datalek met enig spoed kan worden gedicht. Het volledig voorkomen van een datalek is bijna onmogelijk. Echter, door op tijd en effectief in te grijpen kan men de gevolgen binnen aanvaardbare grenzen houden.

Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) heeft een aantal richtlijnen ontwikkeld waarin wordt uitgezet hoe een datalek protocol eruit zou kunnen zien. Dit is geen volledige stappenplan, gezien elke organisatie andere bedrijfdprocessen kent. Het vormt wel een goede basis voor een sterke datalek protocol. Hieronder worden de stappen kort besproken.

  1. Incidentbewustzijn creeëren binnen de organisatie; wanneer is er sprake van een datalek? En hoe kan ik een rol spelen in het voorkomen dat er zich een voordoet?
  2. Beveiliging inrichten; welke maatregelen zijn er van kracht om de beveiliging scherp te houden?
  3. Administratie en controle routine inrichten; vastleggen van datalekken, documenten opstellen en de betreffende procedures hiervoor inrichten, zoals het periodiek uitvoeren van Privacy impact assessments.
  4. Detectie en herstel procedures; hoe kan een datalek zo snel mogelijk worden gevonden en hoe wordt dit effectief hersteld?
  5. Slagvaardigheid/tijdigheid incorporeren; een datalek moet binnen 72 uur gemeldt worden, kan dit worden nageleefd?
  6. Inschattingen van schade concretiseren; hoe wordt de schade begroot en welke criteria gelden hiervoor?
  7. Gemotiveerde notificatie aan AP;
  8. Notificatie & advies aan betrokkene; hoe worden klanten cq betrokkenen geïnformeerd?
  9. Rapportage; hoe wordt dit geregistreerd? En wie houdt dit bij?

Als de bovengenoemde stappen succesvol zijn geïmplementeerd kunnen organisaties een datalek plan opstellen. De inhoud hiervan is afhankelijk van de organisatie die deze opstelt, daardoor blijven de richtlijnen toch vrij vaag. Om een bedrijf toch op weg te helpen zijn er een aantal zaken waar in ieder geval rekening mee moet worden gehouden:

  1. Welke personen moeten, op welk moment geïnformeerd worden/ handelen waar nodig is?
  2. Wie moet u intern op de hoogte brengen van de inbreuk?
  3. Wie bepaalt of u het datalek moeten melden?
  4. Met welke juridische aspecten moet u rekening houden? Denk hierbij aan aansprakelijkheid.

De AVG eist dat datalekken binnen 72 uur moeten worden gemeld. De AP heeft hier een richtlijn over gepubliceerd. Die kan je hier rustig nalezen.

Mocht u meteen van start willen, of wilt u meer weten? Neem dan contact met ons op!

Afspraak maken