Datalekken en de AVG, hoe zat dat ook al weer?

Datalekken en de AVG, hoe zat dat ook al weer?

donderdag 28 januari 2021

Heeft u ook een AVG opfrisser nodig? In dit artikel leggen wij alles omtrent de AVG nog een keer uit. Ook bespreken we het verschil tussen een datalek en een beveiligingsincident, wanneer u een datalek moet melden en op welke manier én hoe u datalekken kunt voorkomen. Zo kunt u (weer) veilig te werk gaan!

De AVG: wat is het ook al weer?

AVG staat voor Algemene Verordening Gegevensbescherming. De AVG is de Nederlandse afgeleide van de Europese General Data Protection Regulation (GDPR). Met AVG en GDPR wordt dus naar dezelfde wetgeving verwezen. De AVG wordt per 25 mei 2018 gehandhaafd en wordt ook wel de privacywetgeving genoemd.

Het doel van de AVG is om burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. Daarnaast wordt met de AVG-wetgeving de kans op datalekken en beveiligingsincidenten verkleind. Daar gaan we verderop in dit artikel dieper op in.

Dankzij de AVG hebben mensen meer privacy rechten gekregen. Zo hebben gebruikers meer mogelijkheden om voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij hebben meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Uw klant kan bijvoorbeeld inzage vragen in opgeslagen data of verleende toestemming intrekken.


AVG voor bedrijven: hoe werkt u volgens de AVG?

Ook voor bedrijven is er wat veranderd. Als bedrijf heeft u meer verplichtingen en verantwoordelijkheden bij het verwerken van persoonsgegevens dan voorheen. Om als bedrijf volgens de AVG te werken moet u uzelf het volgende afvragen:

  • Welke persoonsgegevens verwerkt u? Denk aan naam, adres, telefoonnummer en Burgerservicenummer maar ook aan vingerafdruk, beeldmateriaal, emailadres, inkomen, kenteken, politieke opvatting et cetera.

AVG Veilig verzenden met Filecap Vogelaar

  • Heeft u een grondslag om persoonsgegevens te verwerken? U mag persoonsgegevens alleen verwerken wanneer u deze echt nodig hebt, dus alleen met goede reden. Ook mag u niet meer gegevens verzamelen en gebruiken dan u nodig heeft. Zo heeft een webshop uw Burgerservicenummer helemaal niet nodig en mogen zij daar dus niet naar vragen, maar een overheidswebsite weer wel.
    • Heeft u voldoende maatregelen genomen om de persoonsgegevens te beveiligen? Zo moet u gevoelige gegevens altijd beveiligen met wachtwoorden en deze veilig verzenden, bijvoorbeeld via FileCap. Denk daarbij ook aan de expliciete toestemming die mensen moeten geven wanneer u gegevens wil verzamelen (privacy by default) en het up-to-date houden van uw software om datalekken te voorkomen.
 
    • Heeft u een goede overeenkomst met de partijen die persoonsgegevens voor u verwerken? Gaan zij op de juiste manier met persoonsgegevens om? Werk daarom alleen met gecertificeerde bedrijven. Wij werken zelf volgens de strenge eisen van het ISO-27001 certificaat, dus met ons bent u safe!
 
  • Hoe lang bewaart u de persoonsgegevens? U mag persoonsgegevens niet langer bewaren dan nodig. Zo kunt u de persoonsgegevens automatisch laten vernietigen na een bepaalde tijd om grote datalekken te voorkomen.

 

Wat is een datalek?

Eén van de redenen dat de AVG/GDPR dus is ingevoerd is om de kans op datalekken te verkleinen. Altijd als er persoonsgegevens verzameld of verwerkt worden is er namelijk risico op een datalek. Maar wat is een datalek precies?

De wet spreekt van een datalek wanneer persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking, of als er niet kan worden uitgesloten of dit gebeurd is.

Voorbeelden van een datalek zijn:
Voorbeeld Datalek documenten rondslingeren

  • Diefstal van uw laptop met niet-versleutelde persoonsgegevens
  • Kwijtraken van een USB stick met niet-versleutelde gevoelige gegevens
  • Persoonsgegevens per ongeluk gepubliceerd
  • Persoonsgegevens per ongeluk naar de verkeerde persoon verstuurd
  • Gegevens buitgemaakt via malware, hackers of phishing
  • Vertrouwelijke documenten niet in de papiervernietiger gegooid maar in een normale (papier)bak
  • Documenten op uw bureau laten liggen
  • E-mails verzenden waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor de andere geadresseerden

Het verschil tussen een datalek en een beveiligingsincident

Naast een datalek kun je ook nog spreken over een beveiligingsincident. Een beveiligingsincident is een gebeurtenis waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatie verwerkende systemen in gevaar is (of in gevaar kan komen). Denk aan een besmetting met een virus of een verloren USB-stick. Maar wat is dan het verschil tussen een datalek en een beveiligingsincident?

Ieder datalek is een beveiligingsincident, maar niet ieder beveiligingsincident is ook een datalek! Soms is bijvoorbeeld de software niet up-to-date (beveiligingsincident). Wanneer er ook persoonsgegevens verloren zijn gegaan of onrechtmatig verwerkt (bijvoorbeeld naar iemand verzonden voor wie dat niet bedoeld was of, erger nog, zomaar openbaar gemaakt) dan is er pas sprake van een datalek. Bij een datalek zijn dus ALTIJD persoonsgegevens betrokken!

Is het u nog steeds onduidelijk? Gebruik dan onderstaand stroomschema om te zien of iets een datalek of beveiligingsincident is.

Stroomschema infographic datalek of beveiligingsincident van Vogelaar

Melden van een datalek

De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken (groot of klein) moeten worden gedocumenteerd in een datalekregister. Wanneer er sprake is van een datalek met grote kans op nadelige gevolgen voor de bescherming van persoonsgegevens, dan moet dit gemeld worden aan de Autoriteit Persoonsgegevens (AP). Dit moet uiterlijk binnen 72u gebeuren na constatering van het lek.

Melden is dus verplicht wanneer het datalek een risico vormt voor de rechten en vrijheden van de betrokkenen. Ook moet het direct gemeld worden bij de AP wanneer er sprake is van hacking, malware en/of phishing.

Daarentegen hoeft een beveiligingsincident niet gemeld te worden. Alleen wanneer dit zich ontwikkelt in een datalek met kans op nadelige gevolgen voor de betrokkenen moet dit gemeld worden, of wanneer er sprake is van hackpogingen, malware of phishing.

Hoe moet u een datalek melden?

  • 1. Eerst intern melden: op het moment dat er een vermoeden is van een datalek moet dit eerst gemeld worden bij het eerste aanspreekpunt binnen de organisatie. Dit is bijvoorbeeld de Functionaris Gegevensbescherming (FG), de privacy contactpersoon of de directie.
  • 2. Verzamel informatie: zorg dat er voldoende informatie beschikbaar is om een juiste (risico)inschatting te kunnen maken. Denk aan de mogelijke oorzaak van het lek, alle betrokkenen en hoeveel en welke persoonsgegevens er gecomprimeerd (kunnen) zijn.
  • 3. Beoordeel de ernst van het lek: aan de hand van de beschikbare informatie kan een inschatting gemaakt worden van de gevolgen van het lek. Let op: maakt u ten onrechte geen melding van een datalek dan kunt u een flinke boete krijgen. Onderschat het dus niet!
  • 4. Herstellen: bij een datalek met een technisch aspect dient de ICT-afdeling ingeschakeld te worden om te achterhalen wat de oorzaak is en deze te verhelpen. Vervolgens moeten de gevolgen van het lek zo snel mogelijk beperkt worden.
  • 5. Melding maken bij de Autoriteit Persoonsgegevens: bij een ernstig datalek bent u verplicht om dit te melden. U gebruikt hiervoor de informatie die u verzameld hebt bij stap 2.
  • Twijfelt u over de ernst van het lek? Dan kunt u ook een voorlopige melding maken. Dit is een vooraankondiging van het datalek en laat zien dat uw organisatie bezig is met het oplossen en achterhalen van alles omtrent het datalek.
  • 6. Betrokkenen informeren: als er sprake is van een datalek met een hoog risico voor de rechten en vrijheden van de betrokkenen dan moeten zij daar over geïnformeerd worden.
  • 7. Documenteer, evalueer en rapporteer: neem elk datalek met de bijbehorende informatie op in een register of logboek. Ook datalekken die u niet gemeld heeft bij de AP moeten daarin staan.

Hoe voorkomt u een datalek?

Juist omdat een datalek zo veel impact kan hebben is het belangrijk om er alles aan te doen om een datalek te voorkomen. Naast de nadelige gevolgen voor de betrokken personen zal ook het vertrouwen in uw bedrijf weg zijn en krijgt u een slechte reputatie. Dat wilt u natuurlijk niet.

Zo voorkomt u een datalek:

  • Werk alleen samen met gecertificeerde bedrijven, bijvoorbeeld met de ISO-27001 certificering.
  • Berg papieren met persoonsgegevens direct op na gebruik.
  • Bewaar digitale data altijd in de cloud of op een netwerkschijf, niet op een USB stick of lokale harde schijf.
  • Vergrendel uw computer bij het verlaten van uw werkplek.
  • Beveilig uw mobiele telefoon met een unieke pincode.
  • Bewaar pincodes en wachtwoorden gescheiden van het apparaat waarvoor ze bestemd zijn.
  • Deel adresbestanden altijd versleuteld met een wachtwoord en geef dit wachtwoord in een apart bericht door aan de ontvanger.
  • Bewaar documenten niet langer dan de bewaartermijn.
  • Houd software en andere technologie up-to-date.
  • Deel gevoelige informatie altijd via een veilige weg, wij doen dit bijvoorbeeld via FileCap.


Wilt u ook werken met een echt veilig bedrijf?

Dan bent u bij ons aan het juiste adres. Dankzij onze ISO-27001 certificering gaan wij iedere dag veilig te werk, zowel offline en online. Uw (klant)gegevens zijn bij ons dus altijd in goede handen en worden altijd veilig verwerkt! Ook voor advies kunt u bij ons terecht.
Vogelaar ISO 27001 Gecertificeerd

Dus wilt u ook de zekerheid dat uw gegevens in goede handen zijn? Of wilt u meer weten over veilig werken volgens de AVG of het voorkomen van datalekken?

Neem dan contact op met Mark Bonenkamp. Die kan u alles vertellen hierover!

Mark Bonenkamp

Tel: 030-60 33 514

Mail: mark@vogelaargroep.nl