Wolters Kluwer

Welke stappen neem je bij een datalek?

AVG/GDPR en PSD2: gesneden koek voor Richard Ridderhof. Hij is compliance officer bij Wolters Kluwer Tax and Accounting NL en weet alles van de privacywetgeving en hoe je moet handelen in het geval van een datalek in een organisatie. WIj vroegen hem naar de gevolgen van een lek en welke stappen je moet nemen om verdere schade te voorkomen.

Een accountant heeft verschillende rollen als het gaat om klantgegevens. Soms zijn ze er verantwoordelijk voor en soms zijn ze alleen verwerker. In veel gevallen zijn ze wel verantwoordelijk voor de gegevens en is het van belang om zorgvuldig met persoonsgegevens om te gaan. Als je als accountant te maken hebt met een datalek, dan bestaat de kans dat er klantgegevens op straat komen te liggen. Daar kunnen ook gevoelige gegevens instaan zoals salaris. De verdere gevolgen zijn dat de Autoriteit Persoonsgegevens (AP) boetes op kan leggen. Wat vaak nog wel erger is, is dat ze reputatieschade oplopen. Je naam kan te grabbel komen te staan. Mensen willen geen zaken meer met je doen omdat ze twijfelen aan je betrouwbaarheid, dat is nog veel erger dan de boete zelf.

Hoe zorg je voor overzicht

Het belangrijkste is dat je iemand aanstelt die alles ter plekke kan afhandelen en weet bij wie hij zich moet melden. Het beste is dat sowieso in ieder bedrijf te regelen. Wat ook heel belangrijk is, is dat iedereen in de organisatie weet wat een datalek is. Slim is om bijvoorbeeld een e-mailadres aan te maken waar iedereen met vragen terecht kan. Bijvoorbeeld: privacy@naambedrijf.nl. Daarmee verlaag je een grens en zullen mensen ook kleinere incidenten voor de zekerheid doorsturen. Openheid en eerlijkheid is echt heel belangrijk om schade te voorkomen. Zorg dus voor een open bedrijfscultuur in je bedrijf. Zodat zaken niet onder de pet blijven en mensen durven te melden. Train personeel over datalekken en zorg bijvoorbeeld voor een bewustzijnstraining.

Welke informatie is gelekt

Op het moment dat de melding wordt gedaan, gaat de persoon die hiervoor verantwoordelijk is gesteld op onderzoek uit. Wat is er precies gelekt, hij stelt vragen aan de melder. Soms komt het pas veel later naar buiten dat er een datalek is geweest. Er stond in de beveiliging een poortje open en dat is niet gezien. Dan kom je er pas heel laat achter dat er persoonsgegevens zijn gelekt. Dan is het lastiger, omdat je een langere tijd een risico hebt gelopen. Je kunt pas handelen als je weet dat er een lek is. Dus daarom is openheid zo belangrijk. Zodat iedereen zich vrij voelt om direct een datalek te melden en er onderzoek kan plaatsvinden.

Datalekonderzoek

Allereerst onderzoek je wanneer het incident is voorgevallen. Dit is belangrijk omdat wanneer er sprake is van melden bij AP, dit binnen 72 uur moet gebeuren. Vervolgens ga je na om welke persoonsgegevens het gaat. Is het een naam plus adres, of gaat het om gevoeliger gegevens zoals salaris- of creditcard? Hoe is het gebeurd? Zeker niet onbelangrijk: de verantwoordelijke voor het onderzoek legt alles vast op ‘papier’ in een rapport. Ook alle correspondentie (mail, verslag van gesprek etc) moet je bewaren. Dit is heel belangrijk als toch de AP op de stoep staat. Op deze manier kun je aantonen wat je als bedrijf hebt gedaan in het geval van een datalek.

Rapporteren

In het rapport van een datalek staat datum van het lek en wanneer het is ontdekt. Maar ook wanneer het onderzoek is afgerond. Je geeft ieder incident een nummer en beschrijft de gebeurtenissen. Uiteraard schrijf je op welke persoonsgegevens zijn gelekt en of de AP en/of betrokkenen zijn ingelicht. Beschrijf ook welke maatregelen er zijn genomen om nog een keer te voorkomen.

Melding maken

Bij een hoog risico meld je het bij de betrokkene, aan de persoon over wie de gegevens gaan. Er kan ook een risico zijn bij eenvoudige gegevens als naam en adres. Dat verschilt per geval. Wanneer je het bij de AP meldt hoef je het niet altijd bij de betrokkene te melden. Bij de AP meld je namelijk als er een risico is, bij de betrokkene bij een hoog risico. Verder is het soms (ook al zegt de wet dat niet) toch verstandig om aan de klant te melden in het kader van klantvriendelijkheid.

Maatregelen om een datalek te voorkomen

In het rapport neem je ook mee welke maatregelen je neemt om ervoor te zorgen dat het niet nog een keer gebeurt. In de meeste gevallen is het een menselijke fout. Dan kun je hameren op procedures, trainingen geven over privacy. In het geval van een beveiligingsrisico zorg je ervoor dat het gat weer is gedicht. Heeft een archiefkast open gestaan, dan wordt hij nu iedere avond weer op slot gedaan. Je kunt niet risico’s dichttimmeren, maar je kunt er wel voor zorgen dat er een hele kleine kans is.
Het is overigens heel belangrijk dat er op tijd wordt gehandeld. Je bent namelijk verplicht om binnen 72 uur een datalek te melden bij de AP. Noteer dus in je rapport de deadline van het al dan niet melden van de datalek bij de AP. 

Hoe zit het met het aanpassen van processen?

Leer ervan dat het niet nog een keer kan gebeuren. Bekijk of er procedures zijn die moeten worden aangepast. En bekijk of ze wel worden nageleefd. Het melden van een eventueel datalek moet eigenlijk een automatisme worden. Zodat iedereen in de organisatie ergens in zijn achterhoofd heeft dat het kan gebeuren. Daarbij kan bewustwording en kennis van datalekken een hele belangrijke rol spelen. Streef naar een open cultuur zodat mensen niet keihard worden afgerekend. Dat ze wel durven te melden dat ze een datalek hebben.

Voor de klanten

Het kan zijn dat jij als accountant verwerker bent. Bijvoorbeeld voor een salarisadministratie. Dan heb jij de verplichting om alle medewerking te verlenen zodat jouw klant zijn datalek goed kan indienen bij de AP.

Veilig omgaan met data

Als je veilig om wil gaan met gegevens, is het van belang dat je goed nadenkt wat je allemaal wilt weten. Vraag geen geboortedatum als dat niet nodig is. Houd je aan je doel waarom je gegevens opslaat. De AP deelt echt boetes uit aan organisaties die voor een ander doel gegevens gebruiken. Bijvoorbeeld om ze door te verkopen. Vroeger was het allemaal heel overzichtelijk, nu bestaat er zoveel data. Daarom zijn er die regels van de AVG, zodat er met jouw gegevens niet zomaar wat wordt gedaan achter je rug om.

 

Aanmelden blog.png 

Onze meest recente blogs:

Ondernemen, Vaktechniek, ICT

Welke stappen neem je bij een datalek?

Ondernemen, Vaktechniek, ICT

Tips om schade bij datalekken te voorkomen

Ondernemen, Vaktechniek, ICT

Voorkom phishing en herken hackers

ICT

Voorkom datalekken en hoge boetes

Vaktechniek

Accountability in AVG: toestemming