Dit artikel is oorspronkelijk gepubliceerd op 27-9-2019 door Quirine Storm van Leeuwen.
Bedrijven zijn verplicht om alle datalekken te registreren en ernstige lekken te melden bij de Autoriteit Persoonsgegevens (AP). Maar wanneer is er sprake van een datalek? Wat zijn de gevolgen en welke stappen moet je precies nemen als je een lek ontdekt?
Je kunt bedrijfsdata en data van klanten nog zo goed beschermen, een ongeluk zit in een klein hoekje. Er kan altijd een datalek ontstaan, al is het maar door een menselijke fout. In dat geval ben je volgens de Algemene verordening gegevensbescherming (AVG) als bedrijf verplicht het datalek op te nemen in een datalek-register, waarin je omschrijft wat er voorgevallen en welke maatregelen je hebt genomen. Een dergelijk register kun je zelf een excel-sheet maken maar er bestaat ook speciale software om een AVG-dataregister op te zetten.
Naast de registratieplicht geldt een meldplicht van ernstige incidenten. Deze moeten binnen 72 uur aan de Autoriteit Persoonsgegevens (AP) worden gemeld. Bedrijven die datalekken niet registreren of ernstige lekken niet bij AP melden, lopen kans op een boete.
Maar wanneer is er precies sprake van een datalek? Wanneer moet je een datalek melden? En wel welke maatregelen moet je nemen om de kans op een datalek
Wat is een datalek?
Een datalek is een inbreuk op de persoonlijke gegevens van mensen, bijvoorbeeld doordat hun telefoonnummers, naam, adres en e-mail in handen komen van derde partijen die daar geen toegang toe mogen hebben. Een datalek kan verschillende oorzaken hebben. Het kan zijn dat er een probleem is met de beveiliging van het computersysteem waar de data ligt opgeslagen, maar het kan ook zijn dat de data kwijtraakt, wordt vernietigd of gewijzigd of aan een derde partij wordt verstrekt. Dat kan per ongeluk of met opzet gebeuren.
Wanneer is er sprake van een datalek?
Een datalek hoeft helemaal niet altijd veroorzaakt te worden door een hacker die er met je gegevens vandoor gaat. Er zijn vele manieren om data te lekken. Je kunt bijvoorbeeld per ongeluk informatie over je klanten naar een andere partij hebben gestuurd. Of per ongeluk gegevens hebben gewist. Zelfs het laten liggen van een printje in de printer met persoonlijke informatie wordt een datalek genoemd. Het kan de best beveiligde bedrijven met de best opgeleide mensen overkomen.
De AVG onderscheidt drie soorten datalekken:
1. Inbreuk op de vertrouwelijkheid
Persoonsgegevens zijn openbaar gemaakt of er is toegang geweest tot persoonsgegevens. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
2. Inbreuk op de integriteit
Persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
3. Inbreuk op de beschikbaarheid
De organisatie waar het datalek is (geweest) kan niet meer bij de persoonsgegevens komen. Of de gegevens zijn vernietigd. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
Voorbeelden van de verschillende soorten datalekken
Er zijn verschillende manieren waarop een datalek kan ontstaan. Hieronder hebben we een aantal op een rijtje gezet die veel voorkomen:
1. Datalek via phishing
Een datalek kan ontstaan door een zogenaamde "phishing bericht", bijvoorbeeld een nepmail die eruitziet alsof hij afkomstig is van een betrouwbare bron, zoals een bank of een overheidsinstantie. Zodra je op de link of de bijlage in het bericht klikt, wordt je computer geïnfecteerd of wordt je naar een nepwebsite geleid waar ze trachten gevoelige data afhandig te maken. In een recent onderzoek van Capterra zegt 93% van de ondervraagden dat het aantal phishing-aanvallen is gestegen in de afgelopen drie jaar
2. Datalek via malware
Malware is kwaadaardige software die gevoelige informatie op je computer verzamelt of het systeem verstoort. De software komt meestal op je computer terecht via geïnfecteerde bestanden die je van internet downloadt of via een bijlage in je e-mail. Malware kan verborgen zitten in allerlei bestanden verstopt zitten, zoals video’s, afbeeldingen of in andere software bestanden.
3. Datalek via ransomware
Met ransomware, in het Nederlands gijzelsoftware, blokkeren of versleutelen cybercriminelen bestanden op je computer, en vragen vervolgens losgeld om weer toegang te krijgen tot de data. Eén van de manieren om de gijzelsoftware je computer binnen te smokkelen is via een phishingaanval, waarbij je via een nepbericht verleid wordt op een bijlage te klikken.
4. Datalek door een menselijke fout
Veel datalekken worden veroorzaakt door menselijke fouten. Denk bijvoorbeeld aan een medewerker die gevoelige informatie per ongeluk aan de verkeerde persoon stuurt, uitgeprinte data in de trein laat liggen of het via sociale-media deelt. Het kan ook dat belangrijke functies van de IT-beveiliging per ongeluk worden uitgezet waardoor er makkelijker bij het computersysteem kan worden ingebroken.
5. Datalek door zwakke wachtwoorden
Een veelvoorkomend probleem is dat wachtwoorden vaak niet op de juiste manier worden bewaard. Gebruikers zouden unieke wachtwoorden moeten gebruiken en die vervolgens op een goed beveiligde plek te bewaren, zoals in een wachtwoordmanagement-systeem. Uit onderzoek van Capterra blijkt dat slechts 25% van de ondervraagden gebruikmaakt van zo'n systeem
Wat zijn de gevolgen van een datalek?
Een datalek kan ervoor zorgen dat je klanten het vertrouwen in je bedrijf verliezen waardoor ze besluiten om geen diensten of producten meer van je af te nemen. Omdat je reputatie is aangetast kan je ook je reputatie kosten waardoor het moeilijker wordt om nieuwe klanten aan te trekken. Bovendien kan van de gelekte informatie misbruik worden gemaakt. Denk bijvoorbeeld aan identiteitsdiefstal.
In de Algemene verordening gegevensbescherming (AVG) is sprake van twee categorieën overtredingen en bijbehorende maximale boetes.
1. In de eerste categorie vallen bedrijven die zich niet houden aan de verplichtingen van de AVG, zoals het bijhouden van het datalek-register en het melden van ernstige datalekken. Daarvoor geldt een maximale boete van maximaal 10 miljoen euro of een boete van maximaal 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrijf
2. In de tweede categorie vallen bedrijven die geen goed privacybeleid voeren, waardoor data niet goed wordt beschermd. De maximale boete die bij een overtreding die kan worden opgelegd is 20 miljoen euro of 4% van de wereldwijde jaaromzet waarbij het hoogste bedrag leidend is.
Bescherm je bedrijf tegen een datalek
Het is dus heel belangrijk dat je je bedrijf goed beschermt. De Autoriteit Persoonsgegevens (AP) heeft een stappenplan beschikbaar gesteld om organisaties te helpen. Maar er bestaat ook software waarmee je de naleving van de AVG (en andere informatiebeveiligingsregels) kan controleren en uitvoeren.
Verder is het net zo belangrijk om medewerkers goed te informeren en uit te leggen hoe ze zichzelf en het bedrijf kunnen beschermen tegen hackers. Bijvoorbeeld door een cybersecurity speurtocht te organiseren. Maar wat moet je doen om een hoge AVG-boete te voorkomen wanneer je onverhoopt toch een datalek hebt?
Welke datalekken moet je melden?
Je hoeft niet elk datalek te melden. Sommige soorten datalekken geven geen risico. Dat wil zeggen dat ze geen impact hebben op de rechten en vrijheden van personen, bijvoorbeeld wanneer je je adressenbestand per ongeluk wist. Dat wil niet zeggen dat het wissen van gegevens geen risico is want wanneer de medische gegevens van een patiënt worden gewist dan is er sprake van een hoog risico als de patiënt daardoor geen zorg kan krijgen. Het is dus heel belangrijk om te onderzoeken wat de impact van een datalek is.