Vermoed je een datalek?

Wat is nu precies een datalek?

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.

De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.

Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (artikel 4, punt 12, AVG).
 

Categorieën datalekken

Er zijn 3 categorieën datalekken te onderscheiden:

• Inbreuk op de vertrouwelijkheid
  Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
   
• Inbreuk op de integriteit
  Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
   
• Inbreuk op de beschikbaarheid
  Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan 1 van deze 3 categorieën vallen.
 

Voorbeelden datalekken

• het verlies van een gegevensdrager (notebook, harddisk, USB-stick) met niet-versleutelde persoonsgegevens;
• een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
• een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt
• diefstal van data (kan door personeel zijn) waarbij persoonsgegevens zijn buitgemaakt 

(bron: Autoriteit Persoonsgegevens)

Wat moet je nu precies doen als je denkt dat er een datalek is?

Voordat er werkelijk sprake is van een datalek zal er eerst geconstateerd moeten worden dat er data gelekt is of wordt. Deze constatering kan voortkomen door een melding vanuit je eigen organisatie of door derden zoals een (software) leverancier, politie of iemand die meent dat zijn gegevens gelekt zijn.
 

Procedure

Maar wat dan? Zorg ervoor dat je een procedure klaar hebt liggen die gevolgd wordt bij een datalek. De tijd die je hebt om de melding na constatering te doen is slechts beperkt: binnen 72 uur dien je bij de Autoriteit Persoonsgegevens (AP) het lek te melden. Vervolgens dien je ook de betrokken personen op de hoogte te stellen.

Het is belangrijk om te weten dat een beveiligingsincident niet hetzelfde is als een datalek: bij een beveiligingsincident kan de situatie ook ernstig zijn, maar hoeft er geen sprake te zijn van een datalek.

Invision ICT help haar relaties in geval van een datalek en hanteert de volgende procedure.
 

Registratie serviceorganisatie

Elk bij Invision ICT aangemeld beveiliging incident wordt door serviceorganisatie geregistreerd. 

Dit is niet de registratie bij de Autoriteit Persoonsgegevens, deze volgt later en moet door het bedrijf gedaan worden die verantwoordelijk is voor de data (gegevensverwerker).

 

Onderzoek beveiligingsincident

Het beveiligingsincident wordt onderzocht, waarbij bepaald wordt op welke gegevens het incident van toepassing is en of er sprake is van een beveiligingsincident, sprake van een datalek of dat het een niet geslaagde poging betreft. 
Op basis van deze gegevens wordt bepaald of er sprake is van een datalek of dat het een beveiligingsincident betreft. 

 

Ja, er is sprake van een datalek

Bij de conclusie dat er sprake is van een datalek wordt er direct een moment van overleg bepaald en vastgelegd, rekening houdend met de termijn van 72 uur. Het overleg vindt plaats tussen de verantwoordelijke persoon voor datalekken (beveiligingsfunctionaris) van de organisatie en de verantwoordelijke van serviceorganisatie van Invision ICT. Het doel van deze afspraak is de melding te doen, de oorzaak te achterhalen en eerste maatregelen uit te werken. 

Binnen jouw bedrijf dient de verantwoordelijke beveiligingsfunctionaris te bepalen of het om een datalek gaat of niet. Vervolgens dient de beveiligingsfunctionaris melding te doen bij de Autoriteit Persoonsgegevens via het meldloket datalekken. De wettelijke termijn van maximaal 72 uur (na constateren datalek) is zeer belangrijk om in acht te nemen.

 

Maatregelen treffen

Indien mogelijk worden er onmiddellijk maatregelen genomen om het beveiligingsincident te beëindigen en de schade te beperken. Hierbij is van belang hoe het lek ontstaan is en op welke plaats. Is het in je eigen datanetwerk, is het een gestolen notebook, of heeft het lek plaats gevonden bij je cloud softwareleverancier?  Slechts enkele voorbeelden die ook direct aangeven dat een datalek niet altijd direct is op te lossen.
 

Schema melding beveiligingsincident