Ondanks alle maatregelen die je hebt getroffen heb je toch een datalek. Maar wat doe je nu? Bij een klein lek hoef je waarschijnlijk alleen maar een melding te doen. Maar wat als het wat ingewikkelder is?
Help een datalek! Wat nu?
Recent hielp ik een organisatie bij een lek op hun website waarbij mogelijk persoonsgegevens waren gelekt. Naast het technisch oplossen van het lek heb ik ze ook geholpen met de melding, de respons naar de interne organisatie en naar externe partijen.
Een groot en ingewikkeld datalek is nooit leuk maar met een plan krijg je grip op de situatie en dat is goed voor de organisatie ( en de gemoedsrust van jou en je collega’s ) en natuurlijk voor de betrokkenen.
Wees voorbereid en probeer een datalek te voorkomen
Wat kun je doen om een datalek te voorkomen? Hier zijn een aantal maatregelen die je kunt nemen:
- Breng je technische beveiliging op orde. Zorg voor sterke wachtwoorden, 2-factor authenticatie en zorg ervoor dat je software up-to-date is.
- Breng in kaart waar je persoonsgegevens allemaal op slaat en verwerkt.Veel datalekken komen doordat men even vergeten is dat bijvoorbeeld daar op die website allemaal ingevulde formulieren van klanten staan.
- Maak duidelijk waar je een melding moet doen van een datalek.Zorg voor een formulier of een speciaal e-mail adres. Maak ook duidelijk dat niet melden geen optie is. Je bent wettelijk verplicht om een melding te doen.
- Maak een draaiboek Zorg ervoor dat vooraf duidelijk is wie waarvoor verantwoordelijk is en wat je doet als het toch mis gaat.
En wat als het dan toch gebeurd?
Vrijwel iedere organisatie krijgt er een keer mee te maken. Een datalek. Wat nu?
- Ga gestructureerd te werk.Zorg ervoor dat je zo snel mogelijk inzicht krijgt wat er mis is gegaan en of er bijvoorbeeld direct technische maatregelen genomen moeten worden. Bij een hack of malware is het belangrijk om snel te handelen.
- Doe een melding bij de Autoriteit Persoonsgegevens.Je moet binnen 72 uur een melding hebben gedaan van het datalek.
- Informeer de betrokkenen indien nodigZorgt het datalek voor een ernstige inbreuk op de privacy van de betrokkenen? Dan moet je dit melden.
- Voer een evaluatie uit. Klaar met je melding, lek gesloten? Dan is het belangrijk dat je kijkt wat je had kunnen doen om dit te voorkomen of waar je in het proces nog kunt verbeteren.