Datalekken, we horen er steeds vaker over, maar wanneer moet je een datalek melden en wat valt er eigenlijk allemaal onder deze noemer? Het kan variëren van een per ongeluk verkeerd gestuurd mailtje tot een hacker die toegang heeft tot allerlei persoonsgegevens. De definitie is breed, maar de verplichting tot melding is wettelijk vastgelegd. Maar wat moet je nu precies melden en aan wie?

Wanneer datalek melden?

Niet elk datalek moet je verplicht melden aan de Autoriteit Persoonsgegevens (AP). Op hun website geven ze duidelijk uitleg over wanneer je wel en niet moet melden.
In de Algemene verordening gegevensbescherming (AVG) staat dat je:

  • Een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.
  • De slachtoffers moet informeren als een datalek waarschijnlijk een hoog risico voor hen oplevert.

Daar moet je dus zelf een inschatting van maken.

Soms is het risico heel duidelijk. Als er bijvoorbeeld een grote hoeveelheid patiëntendossiers op straat liggen, is de inschatting snel gemaakt. Maar wat als je per ongeluk gegevens verwijderd hebt waar anderen toegang tot zouden moeten hebben. Dan kijk je naar factoren zoals de gevoeligheid van de persoonsgegevens, de ernst van de gevolgen en het aantal slachtoffers om te bepalen of je een melding maakt bij het AP.

Zijn de risico’s hoog? Dan moet je ook de slachtoffers zo snel mogelijk informeren. Dat hoeft dus niet in ieder geval, maar ook in minder risicovolle gevallen kan het goed zijn om open en eerlijk te communiceren over wat er misgaat. Dat draagt bij aan het vertrouwen dat er goed omgegaan wordt met hun persoonsgegevens.

Vastleggen en voorkomen

Als je ook volgens de ISO 27001 norm of NEN 7510 voor informatiebeveiliging werkt, wil je intern wel elk datalek melden. Je wil natuurlijk zo veel mogelijk voorkomen dat het mis gaat en adequaat reageren als dat toch gebeurt. Inception biedt twee belangrijke invalshoeken: melden en voorkomen.

Met onze Klachten en Meldingen (KEM) module kan je formulieren creëren zoals jij dat wilt. We hebben zelfs specifieke formulieren voor datalekken en voor informatiebeveiligingsmeldingen, zodat je altijd de juiste onderdelen aantoonbaar hebt. Je kunt er zo bijvoorbeeld voor zorgen dat je altijd een risico inschatting doet en daar je maatregel op aanpast.

In de KEM-module leg je de kans en het effect van een datalek (of Informatiebeveiliging incident) vast zodat je daar proactief op kunt handelen. Middels de Auditmodule kun je op gezette tijden checken/ controleren of alle risico’s die je hebt vastgesteld nog genoeg gedekt zijn om je informatie zo goed mogelijk te beschermen.

Met deze twee onderdelen kun je ervoor zorgen dat je de kans op herhaling minimaliseert en zo je organisatie beter beschermt.

AVG-Vriendelijke instellingen

Het systeem heeft ook een aantal AVG- specifieke instellingen. Zo geven wij gebruikers de mogelijkheid om aan te geven welke velden in meldingen geanonimiseerd moeten worden en na welke tijd. Hierdoor behoud je controle over gevoelige informatie en heb zijn de gegevens nooit langer beschikbaar dan nodig.

Verder kun je nauwkeurig bepalen wie toegang heeft tot meldingen en je kunt triggers instellen voor verschillende gebruikers of rollen. Zo kan een ziekenhuis bijvoorbeeld de zorggegevens van een cliënt vastleggen zonder de privacy van de persoon in gevaar te brengen.

Of het nu gaat om een datalek melden of het voorkomen ervan, onze software ondersteund je daarbij. Zo heb je de juiste tools om adequaat te reageren, maar ook de mogelijkheden om proactief risico's in te schatten en te minimaliseren.

Benieuwd geworden hoe je aan de slag kan met ISO 27001 of NEN 7510? Download dan hier ons stappenplan!

Categories: Blog, Informatiebeveiliging /