Met nog een paar maanden te gaan voor de inwerkingtreding van de AVG is er nog een onderwerp dat speciale aandacht verdient: het datalek.
Bij de eerste aankondigingen in 2016 over AVG/GDPR was dit groot in het nieuws en lag de nadruk vooral op de enorme boetes die kunnen worden uitgedeeld door de Autoriteit Persoonsgegevens. Bijzonder dat de media zich juist daarop focusten, want Nederland heeft al sinds 1 januari 2016 vooruitstrevende wet- en regelgeving op het gebied van datalekken. Daarbij konden al sancties worden opgelegd.
Wat is een datalek?
Maar wat is dat nu eigenlijk, een datalek, en wat moet je als ondernemer geregeld hebben op het moment dat er een datalek geconstateerd is?
Het begint bij het vaststellen. Een lek is ieder voorkomen waarbij persoonsgegevens die uw organisatie verwerkt in het bezit komen van een derde partij, waarvoor een individu inbreuk kan ondervinden op zijn rechten en vrijheden.
Kort gezegd: U verliest de controle over gegevens waarvoor u bij verwerking verantwoordelijk bent.
Incident-afhandeling
Om inbreuk te kunnen beperken worden vanuit de AVG verplichtingen opgelegd om een datalek te voorkomen en als dit toch plaatsvindt de impact voor de betrokken personen te beperken.
Om aan die verplichting te kunnen voldoen, moet uw organisatie in staat zijn:
- Een incident te signaleren
- Te kunnen vaststellen of het een datalek betreft
- De impact op de betreffende personen te minimaliseren
- Tijdig de juiste partijen te informeren
Voor de meeste bedrijven is punt 1 al een enorme uitdaging. Hoe weet je of er persoonsgegevens uit het verwerkingsproces zijn gelekt? Vaak blijkt dit naar aanleiding van een bericht in de krant of op internet, of als een externe partij zich meldt met de boodschap dat die in bezit is van persoonsgegevens afkomstig uit uw organisatie. Vanaf dat moment bent u zich bewust van een incident en moet u daar iets mee. Let wel, een incident is nog steeds geen (vaststelling van een) lek! Registreer het incident (bijvoorbeeld in een Word-document) en houd bij wie waaraan werkt en welke tijd er voor welke activiteiten verstrijkt.
Bewustwording
U moet dus onderzoek doen naar de authenticiteit van de berichtgeving of melding. Komen de gegevens daadwerkelijk bij u vandaan? En welke gegevens zijn gelekt? Dit onderzoek mag niet ellenlang duren. Er wordt gekeken naar de tijd die redelijkerwijs noodzakelijk is om een lek te kunnen vaststellen. Er loopt dus wel degelijk een klok. Als u tot de conclusie komt dat de gegevens daadwerkelijk bij u vandaan komen, dan bent u zich vanaf dat moment bewust van een datalek. Op dat moment begint er een hele belangrijke klok te tikken, die van de Autoriteit Persoonsgegevens. Vanaf dat bewuste moment heeft u uiterlijk 72 uur om zonder enige tussenkomende vertraging een datalek te melden bij de Autoriteit Persoonsgegevens. Let wel, nog niet alle feiten hoeven op tafel te liggen. Die mogen ook in een opvolgende melding worden aangevuld en verduidelijkt. Het belangrijkste is dat u een lek meldt! Ook als u er niet 100 procent zeker van bent dat het een datalek betreft. We pakken er een voorbeeld bij.
Verkeerd verstuurde data vanuit de salarisadministratie
Uit uw salarisadministratiesysteem wordt een overzicht met jaaropgaves van een aantal van uw medewerkers naar een verkeerd e-mailadres buiten uw organisatie gestuurd.
U stelt vast dat het gaat om honderd jaaropgaves van medewerkers die werken op uw bedrijfslocatie in Groningen.
Wat moet u melden:
- Een omschrijving van het incident
- Onrechtmatige ontsluiting van personeelsgegevens uit salarisadministratie door het versturen van e-mail naar een niet-geautoriseerd e-mailadres.
- De categorie van gegevens die zijn gelekt en het aantal
- 100 bestanden met financieel gevoelige informatie.
- Zijn er individuen uit andere lidstaten bij dit lek betrokken? Zo ja, welke?
- Nee.
- De contactinformatie van de functionaris gegevensbescherming (FG) of de verantwoordelijke voor het afhandelen van deze melding
- Naam en contactgegevens.
- Beschrijving van de waarschijnlijke consequenties van dit incident
- Het e-mailadres waar de e-mail naartoe is gestuurd behoort tot het privédomein van een medewerker op de eigen HR-afdeling. De verspreiding van informatie heeft dus betrekking op één medewerker die reeds geautoriseerd was om de informatie te kunnen inzien. Er zijn dus geen nieuwe feiten bekend geworden over de medewerkers waarvan de data gelekt is. Er worden geen verdere consequenties van dit lek verwacht voor de medewerkers waarvan data in het lek aanwezig was.
- Beschrijving van de genomen maatregelen
- Direct na het vaststellen van de fout door onze functionaris gegevensbescherming (FG) is contact opgenomen met de HR-medewerker. Ter plekke heeft onze FG een verzoek gedaan om de e-mail te verwijderen uit de mailbox en op alle apparaten die toegang hebben tot het desbetreffende mailadres. Dit is ter plekke ingewilligd en uitgevoerd. Voor zover we hebben kunnen vaststellen, zijn geen kopieën van de berichten gemaakt en/of doorgestuurd. Daarnaast is er contact opgenomen met de leverancier van het HR-systeem om de mogelijkheden te beperken voor het versturen van e-mail aan alleen mailadressen die zijn goedgekeurd door de FG.
Betrokken personen informeren
In het voorbeeld is het nog redelijk goed afgelopen met het lek, maar data kan ook zomaar de grens overgaan en buiten bereik van de verantwoordelijke terechtkomen. In zo’n situatie moet er een privacy impact analyse (PIA) plaatsvinden om te bepalen of de individuen waarvan de data is gelekt geïnformeerd moeten worden. De toetsing daarvoor: als het waarschijnlijk is dat er fysiek, materiële of immateriële schade ontstaat als gevolg van het lek.
In het geval van het voorbeeld waarbij de jaaropgaven zijn gelekt, zal deze groep zeker geïnformeerd moeten worden aangezien er economische en socio-economische gevolgschade te verwachten is.
Voorbereiding
Een datalek zit in een klein hoekje en u moet zich terdege bewust zijn van de risico’s en voorbereidingen treffen om een lek te voorkomen, dan wel dit zo snel en goed mogelijk te kunnen dichten.
Nu we toch al de grens overgaan: in mijn volgende blog neem ik u mee in de verzending van persoonsgegevens over de grens. Makkelijk of toch niet?
Carlo Kuip is enterprise architect bij SnelStart.
Geef een reactie