Hoe krijg ik grip op datalekken in mijn organisatie?

Voor Nederland net niet nieuw, maar toch net een beetje anders onder de AVG: Hoe ga ik om met het risico van een datalek? In Nederland kennen we sinds 2016 al de meldplicht datalekken. Hiermee loopt Nederland vooruit op eenzelfde meldplicht die in de AVG is opgenomen.

Maar, hoe weet ik nou dat ik te maken heb met een datalek dat gemeld moet worden? Moet ik echt álles melden? En hoe zorg ik er nou voor dat mijn organisatie de juiste procedures heeft ingericht en leert van beveiligingsincidenten en datalekken?

Ik neem u mee in een aantal punten wat de autoriteiten van u verwachten en hoe u ervoor kunt zorgen dat u daadwerkelijk grip houdt op de datalekken die zich ongetwijfeld in uw organisatie voordoen.

Procedures en accountability

Allereerst valt het melden van datalekken en het inrichten van de juiste procedures onder een van de voornaamste verplichtingen die u op basis van de AVG heeft, als verantwoordelijke voor het verwerken van persoonsgegevens. Namelijk dat u passende technische en organisatorische maatregelen neemt om te garanderen dat persoonsgegevens voldoende zijn beschermd. Het is daarbij zaak dat u niet alleen de juiste procedures en beveiligingsmaatregelen heeft omschreven, maar ook dat u kunt aantonen dat u de maatregelen uitvoert.

U kunt hier dus invulling aan geven door beleid op te stellen rondom beveiligingsmaatregelen en helder te beschrijven welke maatregelen u heeft genomen om een datalek te kunnen herkennen en vervolgens te besluiten deze wel of niet te melden. Dit is alleen mogelijk als u ook een duidelijk beeld heeft van welke verwerkingsactiviteiten plaatsvinden binnen uw praktijk of zorginstelling. Doet zich een datalek voor, dan kunt u aan de hand hiervan snel identificeren wat de beveiligingsmaatregelen zijn geweest die u had genomen en of deze voldoende passend waren. Daarbij kunt u snel identificeren wat de gevolgen zijn van het datalek en wie hierdoor getroffen zijn. Dit is belangrijk, omdat een datalek binnen 72 uur gemeld moet worden aan de Autoriteit Persoonsgegevens.

Een goed plan rondom datalekken

Het opstellen van een plan rondom datalekken is geen doel op zich en de focus van een dergelijk plan moet gericht zijn op de bescherming van de rechten en vrijheden van betrokkenen. Dat betekent dat het niet moet worden gezien als een plan om boetes te voorkomen, maar een plan om ervoor te zorgen dat een potentieel verlies van gegevens van betrokkenen of bijvoorbeeld onbevoegde inzage hiervan zo adequaat mogelijk wordt opgevolgd. Alleen dan kunnen er op tijd beschermende maatregelen worden genomen om het risico van een privacy-inbreuk zo klein mogelijk te houden.

Om in staat te zijn een goed werkend datalekkenplan op te stellen, zult u een proces moeten hebben dat het mogelijk maakt om datalekken te detecteren. Denk daarbij aan een centraal meldpunt binnen uw organisatie waar medewerkers die het vermoeden hebben dat er gegevens verloren zijn gegaan, melding kunnen doen.

Verder moet u ervoor zorgen dat uw medewerkers weten wat een datalek is en wat hiervan de gevolgen kunnen zijn. Het is daarbij belangrijk dat uw medewerkers een mogelijk datalek intern ook melden en niet bang zijn voor eventueel negatieve sancties voor henzelf als zij bijvoorbeeld per abuis een e-mail onjuist hebben geadresseerd.

Als een datalek is geconstateerd moet u in staat zijn om de risico’s die hieraan verbonden zijn te bepalen. Alleen dan weet u of er een melding moet worden gedaan aan de Autoriteit Persoonsgegevens en/of de betrokkene zelf. Dit laatste kunt u onderdeel laten uitmaken van een incident-response plan.

Wat is een datalek?

Een datalek laat zich op basis van de AVG als volgt omschrijven:

‘Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verzonden, opgeslagen of anderszins verwerkte gegevens.’

Maar waar moet u dan concreet aan denken? Een veel voorkomend voorbeeld van een datalek is het naar een onjuist e-mailadres verzenden van grote hoeveelheden persoonsgegevens. U kent de ontvanger in dit geval niet en u kunt de gegevens ook niet makkelijk terughalen, waardoor de consequenties van dit verlies niet te overzien zijn.

Er worden drie typen datelekken onderscheiden:

  1. Een datalek dat ervoor zorgt dat er een inbreuk is op de vertrouwelijkheid van persoonsgegevensdoor ongeautoriseerde toegang of niet bedoelde openbaarmaking van of toegang tot persoonsgegevens.
  2. Een datalek dat ervoor zorgt dat gegevens onbedoeld of zonder toestemming toegankelijk worden gemaakt of tijdelijk niet of permanent niet toegankelijk worden gemaakt.
  3. Een datalek dat ervoor zorgt dat de integriteit van een systeem met persoonsgegevens en de integriteit van de persoonsgegevens zelf in gevaar komt.

Bij een datalek kan er sprake zijn van een combinatie van de bovenstaande typen datalekken, bijvoorbeeld doordat een hack in het systeem ervoor heeft gezorgd dat de persoonsgegevens tijdelijk niet meer beschikbaar zijn om in te zien. In dat geval is de vertrouwelijkheid van het systeem geschonden en zijn de gegevens tijdelijk niet beschikbaar gemaakt.

Wanneer moet ik melden?

Dat er sprake is van een datalek, betekent niet automatisch dat er gemeld moet worden. Bijvoorbeeld als er sprake is van het tweede type datalek – persoonsgegevens zijn in verkeerde handen terecht gekomen – en de persoonsgegevens zijn toch niet toegankelijk, omdat de gegevens versleuteld waren en de sleutel tot die gegevens niet meer beschikbaar is (digitaal verwijderd en onomkeerbaar). In dat geval zullen er geen negatieve consequenties verbonden zijn aan het datalek voor de betreffende personen.

Overigens kan het tijdelijk niet beschikbaar zijn van medische data van patiënten in bijvoorbeeld de context van een ziekenhuis wel degelijk een datalek opleveren. In dat geval zijn er evident aanzienlijke risico’s voor de rechten en vrijheden van betrokken personen. Bij acuut medische noodsituaties is het feit dat de gegevens tijdelijk niet beschikbaar zijn, immers nadelig voor de patiënt en de medische behandeling. De maatstaf die u moet aanhouden of er gemeld moet worden is dus steeds of hieruit aanzienlijke risico’s voortvloeien voor de rechten en vrijheden van de personen op wie de gegevens betrekking hebben.

Wat is de afweging

Moet ik echt alles melden? Nee, zoals hiervoor al even aangegeven hangt het van de vraag af wat het risico is voor de betrokken personen van wie de gegevens zijn. Op het moment dat er kan worden uitgesloten dat deze risico’s er zijn, dan kunt u de melding achterwege laten. Dit moet u dan wel documenteren en het datalek zelf moet u wel opnemen in uw datalekkenregister. Omdat er immers wel sprake was van een beveiligingsincident.

Het beoordelen of een datalek leidt tot aanzienlijke risico’s voor betrokkenen vraagt een beoordeling van geval tot geval, waarbij u in ieder geval tot een juiste weging van het datalek moet kunnen komen en u moet weten met welk type datalek u te maken heeft. Dit is van belang om te bepalen welke vervolgstappen u moet zetten om het datalek aan te pakken.

Als persoonsgegevens zijn beveiligd door middel van encryptie en het is voor derden niet mogelijk deze gegevens te openen, dan zijn er afdoende beschermingsmaatregelen genomen om de gegevens te beveiligen. U hoeft in dat geval niet te melden. U moet als organisatie wel inzichtelijk hebben gemaakt welke beveiligingsmaatregelen u voor welke gegevensverwerking heeft genomen. Alleen dan kunt u snel bepalen hoe u moet handelen bij het betreffende datalek en of u moet melden.

Melding binnen 72 uur

Zoals eerder aangegeven moet een datalek binnen 72 uur nadat deze is ontdekt, worden gemeld aan de Autoriteit Persoonsgegevens. Het zonder valide reden te laat of niet melden, kan leiden tot een boete.

Zorg er in deze context ook voor dat u duidelijke afspraken maakt met verwerkers over het afhandelen van datalekken. Op het moment dat uw verwerker te laat bij u aangeeft dat er sprake was van een datalek, dan kan het zijn dat u daardoor niet in staat bent tijdig te melden aan de Autoriteit Persoonsgegevens.

Heeft u door omstandigheden niet in 72 uur kunnen melden, dan hoeft dit niet persé te leiden tot een boete. Als u met valide redenen kunt onderbouwen dat u niet eerder had kunnen melden en na 72 alsnog meldt, dan hoeft het feit dat u te laat bent niet te resulteren in een boete. Bijvoorbeeld als u in het belang van betrokkenen primair maatregelen heeft moeten nemen om de veiligheid van de gegevens van betrokken personen te beschermen en u aan deze acties prioriteit heeft gegeven boven de afhandeling van een melding.

Weet u niet zeker of u een datalek moet melden bij de Autoriteit Persoonsgegevens, dan kunt u ook een voorlopige melding doen. Het onderzoek naar het datalek kunt u vervolgens voortzetten. Concludeert u naar aanleiding van nader onderzoek dat toch geen sprake is geweest van een datalek, dan kunt u de melding weer intrekken.

Datalekken en ‘accountability’:

Omdat de AVG van u verlangt dat u te allen tijde moet kunnen aantonen dat u aan privacyregelgeving voldoet en u dus moet zorgen voor een privacybeleid dat goed geborgd is in uw organisatie, is het van uiterste belang dat u uw protocol rondom datalekken zodanig inricht dat u precies kunt aangeven wat de oorzaak is van het datalek, wat er is gebeurd, welke categorieën persoonsgegevens door het datalek zijn geraakt, welke (categorieën van) personen hierbij betrokken zijn, wat de effecten zijn van het datalek en welke acties u heeft genomen. Alleen dan kunt u aantonen dat u aan privacyregelgeving voldoet en voldoet u aan de verantwoordingsplicht, die u per 25 mei heeft.

Het is dus belangrijk dat u vastlegt wat de overwegingen zijn geweest bij de beslissing om een datalek wel of niet te melden. Dit geldt ook zeker wanneer er besloten wordt geen melding te doen van een datalek. U zal moeten motiveren waarom u van mening bent dat er geen sprake is van een risico of van een hoog risico als gevolg waarvan u geen melding doet bij de Autoriteit Persoonsgegevens dan wel niet aan de betrokken personen heeft gemeld. U zult dit moeten vastleggen in een vorm van incident- of datalekkenregister.

Voldoende bewustzijn

Verder is het in het kader van uw verantwoordingsplicht belangrijk dat u kunt aantonen dat uw medewerkers op de hoogte zijn van het bestaan van uw datalekkenprocedure en dat zij weten wat ze moeten doen als er zich een vermeend datalek voordoet. Dit betekent dat er een duidelijke plek moet zijn waar men een datalek kan melden, maar ook dat er een cultuur is in de organisatie waar men zich vrij voelt om een datalek te melden. Men moet bijvoorbeeld niet bang zijn voor eventuele sancties omdat de medewerker zelf het bestand onversleuteld naar de verkeerde afzender heeft gestuurd. Dit vraagt dus ook wat van uw bedrijfscultuur en u kunt dus niet alleen volstaan met het opstellen en communiceren van uw datalekkenprotocol.

De Functionaris Gegevensbescherming

Met de komst van de AVG in het vooruitzicht hebben zullen zorgorganisaties een Functionaris Gegevensbescherming (FG) moeten aanstellen, die moet toezien op het privacybeleid binnen de zorginstelling en onder meer betrokken is bij het melden van datalekken. De FG is aanspreekpunt voor de Autoriteit Persoonsgegevens en adviseert de zorginstelling gevraagd en ongevraagd op het gebied van privacybescherming. Bij het melden van datalekken is het cruciaal dat de FG betrokken is bij het proces van het melden en precies weet wat de context is van het datalek.

In een volgende blog laten we u zien wat het register van verwerkingsactiviteiten voor uw organisatie betekent en hoe u dit kunt inzetten om de risico’s rondom de verwerking van persoonsgegevens te verkleinen.

Training en workshops

Wilt u weten welke minimale maatregelen u moet nemen in het kader van de implementatie van de AVG?

U kunt kiezen voor een incompany training of executive waarin we met u bespreken hoe u op een pragmatische manier de noodzakelijke maatregelen voor uw organisatie kunt inrichten.

Bekijk onze trainingen

Factsheet Eerste Hulp Bij Datalekken | AVG

Harm Jan Sleijffers

Legal Consultant

©2022 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact