Juist omgaan met een datalek in 5 stappen.
Een datalek kan iedere onderneming overkomen. Als een datalek zich voordoet, kunnen derden toegang krijgen tot gegevens van klanten, leveranciers, werknemers enzovoort. Dit houdt verschillende risico’s in. Zo kunnen deze gegevens door criminelen worden gebruikt om gerichte spam- of phishingaanvallen uit te voeren. De verwerkingsverantwoordelijke is verplicht om persoonsgegevens binnen de onderneming te beschermen tegen datalekken. Hieronder lees je welke stappen je moet nemen in geval van een datalek.
Wat is een datalek?
Een datalek is een “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Bij een datalek is er een inbreuk op de vertrouwelijkheid, de integriteit of de beschikbaarheid van de gegevens in kwestie. Een datalek is zo gebeurd: ook wanneer een USB-stick of laptop verloren gaat, een e-mail met bijlage naar de verkeerde bestemmeling wordt verzonden of een bestand bij vergissing wordt vernietigd is er sprake van een datalek.
Voorkomen is beter dan genezen
Hoewel geen enkele set van maatregelen ervoor zal zorgen dat de gegevens binnen je onderneming 100% beschermd zijn tegen een datalek, is het toch belangrijk om op voorhand al een aantal beveiligingsmaatregelen te nemen. Dit kan je doen door de installatie en toepassing van firewalls, virusscanners, wachtwoorden en encryptie. Daarnaast is het aanbevolen om een beleid op te stellen met richtlijnen voor je werknemers, zodat zij weten hoe ze op een correcte manier moeten omgaan met persoonsgegevens.
Eerste hulp bij datalekken: een stappenplan
Een datalek kan leiden tot reputatieschade, met een eventueel verlies van inkomsten tot gevolg. Als je onderneming niet op correcte wijze omgaat met de gevolgen van een datalek, bestaat bovendien het risico op een administratieve geldboete opgelegd door de Gegevensbeschermingsautoriteit. Het is dus van groot belang om onderstaande stappen in acht te nemen. Binnen KMO Legal staan wij ook altijd paraat om je onderneming hierbij te ondersteunen.
Stap 1: breng het datalek in kaart
In de eerste plaats moet je het datalek analyseren. Wie heeft toegang gekregen tot de gegevens? Welke gegevens zijn gelekt? Heeft het incident tot gevolg gehad dat er gegevens zijn vernietigd of gewijzigd? Hoe is het datalek veroorzaakt? Welke risico’s zijn verbonden aan het datalek? Evalueer ook hoe je dit soort datalek in de toekomst kan voorkomen.
Stap 2: beperk mogelijke risico’s
Op basis van de eerste stap kan je alvast nagaan welke maatregelen je meteen kan nemen om verdere schade te voorkomen en het datalek te beëindigen (voor zover dit nog niet beëindigd is). Voorbeelden van maatregelen zijn het op afstand blokkeren van toegang tot een bestand of account en het wissen of versleutelen van gegevens.
Stap 3: registreer het datalek
Je moet elk datalek registreren in een ‘register van datalekken’. De melding in het register moet een omschrijving van het datalek bevatten (inclusief het aantal betrokken personen en een classificatie van de gelekte gegevens), de mogelijke gevolgen van het datalek en de maatregelen waarmee de gevolgen van het datalek zoveel mogelijk worden beperkt.
Stap 4: meld het datalek aan de GBA
Niet elk datalek moet aan de toezichthouder (de ‘Gegevensbeschermingsautoriteit’ of ‘GBA’) worden gemeld. De melding dient alleen te gebeuren wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Voor de risicobeoordeling wordt rekening gehouden met de aard, de omvang en de gevoeligheid van de persoonsgegevens in kwestie, met het gemak van identificatie aan de hand van deze persoonsgegevens, met de ernst van de gevolgen van het datalek, met het feit dat het gaat om gegevens van minderjarigen (of andere kwetsbare personen) en met het aantal getroffen personen.
Stap 5: breng betrokkenen op de hoogte
Als er sprake is van een hoog risico voor de rechten en vrijheden van de bij het datalek betrokken personen, zal je ook de betrokkenen op de hoogte moeten brengen van het datalek. De melding aan betrokkenen moet een omschrijving bevatten van de aard van het datalek, en dit in een passende en eenvoudige taal. Tevens moeten de contactgegevens van de DPO of een andere contactpersoon worden bezorgd, de (mogelijke) gevolgen van de inbreuk en de getroffen maatregelen.
Wil je een beroep doen op KMO Legal om je op juridisch vlak te ontzorgen?
Neem dan vrijblijvend contact op met onze KMO Legal Experts via: info@kmo-legal.be