Een plan voor het ergste geval.

Security Cyber

De nieuwe privacywetgeving die sinds 25 mei 2018 van kracht is stelt organisaties verplicht om een Datalek protocol in te stellen. Weinig organisaties hebben dit nog gedaan, men handelt vaker reactief dan preventief. In het kader van deze wet: niet erg handig. Waar moet je op letten als je een dergelijk actieplan opstelt?

Vanaf 25 mei 2018 is de AVG/GDPR ingegaan. Dit is een direct gevolg van de toenemende mate waarin data wordt verwerkt. Met ingang van deze wet worden bedrijven niet alleen verplicht om datalekken te melden aan het AP(Autoriteit Persoonsgegevens) maar ook om deze redelijkerwijs te voorkomen. Hiervoor suggereert de nieuwe privacy verordening een datalek protocol.

Een datalek is een lek in de beveiliging waardoor allerlei persoonsgegevens op straat komen te liggen. Om een beter beeld te geven, kan worden gedacht aan een lekkende waterdam. Een persoonlijk favoriete voorbeeld is de datalek van de overspel-dating-site ‘Ashley Madison.’ De datalek van de hiervoor genoemde website heeft ervoor gezorgd dat data van duizenden gebruikers openbaar werd gemaakt. Dit had desastreuze gevolgen voor de website zelf..maar ook voor veel gebruikers.

Het is daarom van uiterst belang dat bedrijven een datalek protocol hebben opgesteld. Dit geeft bedrijven een actieplan waardoor een datalek met enig spoed kan worden gedicht. Het is van belang dat een datalek met spoed wordt gedicht want een bedrijf loopt ook imagoschade op.

Om een basis datalek protocol op te stellen, heeft het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) een document uitgebracht waarin wordt uitgelegd hoe een datalek protocol eruit zou moeten zien. Hieronder worden de stappen kort besproken.

De eerste stap naar een sterk datalek protocol is het organiseren van ‘accountability’. Dit kan worden bereikt door een aantal van de volgende kerneigenschappen te implementeren binnen de organisatie:

  1. Incidentbewustzijn op orde
  2. Beveiliging op orde
  3. Administratie en controle routine op orde
  4. Detectie en herstel
  5. Slagvaardigheid/tijdigheid
  6. Inschattingen van schade
  7. Gemotiveerde notificatie aan AP
  8. Notificatie & advies aan betrokkene
  9. Rapportage

De tweede stap naar een sterk datalek protocol is het implementeren van aantoonbare maatregelen, die het risico op datalekken verminderen, hierbij kan gedacht worden aan:

  1. De frequentie van beveiligingsincidenten laag te houden;
  2. De ontdekkingskans groot maken
  3. Efficiënte afwikkeling van incidenten
  4. Leren en verbeteren

Als de eerste twee stappen succesvol zijn geïmplementeerd kunnen organisaties een datalek plan opstellen. De inhoud hiervan is afhankelijk van de organisatie die deze opstelt. Een aantal zaken waar in ieder geval rekening mee moet worden gehouden zijn:

  1. Welke personen moeten, op welk moment geïnformeerd worden/ handelen waar nodig is?
  2. Wie moet u intern op de hoogte brengen van de inbreuk?
  3. Wie bepaalt of u het datalek moeten melden?
  4. Met welke juridische aspecten moet u rekening houden?

De nieuwe privacy verordening eist dat datalekken binnen 48 uur moeten worden gemeld. Tevens, moet het datalek protocol moet worden opgenomen in het privacybeleid van een organisatie. De AP heeft hier een richtlijn over gepubliceerd. Die kan je hier rustig nalezen.

Heeft u nog vragen of wilt u meer weten, laat het ons weten via onze contactpagina!

Afspraak maken