Zo voorkom je een datalek

Een fotoboekenbedrijf, een pretpark, een zwembad: allemaal hadden ze begin 2022 te maken met een datalek. Wat moet je doen als je bedrijf klantgegevens heeft gelekt? En hoe voorkom je een datalek?
Is jouw organisatie cyberweerbaar?

Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.

Oorzaak

Een datalek ontstaat niet zomaar. Als je ICT-beveiliging niet op orde is, kan een hacker je klantgegevens stelen. Data kunnen ook uitlekken doordat jij of medewerkers onvoorzichtig omgaan met persoonsgegevens, of als een zakenpartner of leverancier je klantgegevens niet goed beheert. Zo vond een supermarkt in 2019 patiëntengegevens in een winkelkarretje. Een medewerker van het ziekenhuis had de achterkant van een werkdocument gebruikt als boodschappenlijstje.

Voorkom een datalek

Met een paar maatregelen voorkom je dat persoonsgegevens in verkeerde handen vallen. Zo verklein je de kans op een datalek en andere vervelende gevolgen, zoals afpersing of een boete. Neem bijvoorbeeld de volgende acties:

1. Bespreek regelmatig (bijvoorbeeld een keer per jaar) met collega’s de verwerking van persoonsgegevens in jouw bedrijf. Verstuur je gegevens op een veilige manier.
2. Zorg dat je goed op de hoogte bent van de wetgeving rond persoonsgegevens: de AVG.
3. Geef niet zomaar wachtwoorden, klantgegevens en toegang tot je systemen aan derden, zoals zelfstandigen die je inhuurt of leveranciers.
4. Gaat een derde partij voor jou bedrijf persoonsgegevens verwerken? Zorg dan voor een verwerkersovereenkomst. Andersom geldt: ben je zzp’er? Check dan bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. In dat geval moet je een verwerkersovereenkomst afsluiten.
5. De klanten van wie jij gegevens verzamelt, moeten daarvan op de hoogte zijn. Laat hen weten welke gegevens je verzamelt en met welk doel. Geef hen ook de gelegenheid om zichzelf uit te schrijven of de verzameling stop te zetten.
6. Investeer in goede ICT-beveiliging van je laptop, computer, telefoon en mobiele apparaten. Gebruik bijvoorbeeld sterke wachtwoorden of tweefactorauthenticatie. Bespreek je beveiliging ook een keer per jaar met een cybersecurity-expert.

Toch een datalek?

Wat als klantgegevens ondanks deze maatregelen toch op straat belanden? Je bent verplicht het datalek te melden bij de Autoriteit Persoonsgegevens (AP). Als de AP oordeelt dat je te weinig maatregelen hebt genomen, kun je een boete krijgen. Denk je dat er sprake is van een datalek? Doorloop dan de volgende stappen:

1. Check of het gaat om data met persoonsgegevens

Persoonsgegevens zijn data met informatie over een natuurlijke persoon. Dit betekent dat informatie direct over iemand gaat, of naar die persoon te herleiden is. Het gaat dus om iemands naam, adres en woonplaats. Maar ook telefoonnummers, klantnummers, klantprofielen en e-mailadressen zijn persoonsgegevens.

2. Meld het lek bij de Autoriteit Persoonsgegevens

Als er gevoelige persoonsgegevens zijn gelekt, ben je verplicht het binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. Gevoelige gegevens gaan bijvoorbeeld over iemands politieke opvatting, seksuele leven of gezondheid. Datalekken zonder gevoelige persoonsgegevens moet je altijd intern registreren.

3. Meld het lek eventueel aan betrokkenen

Je hoeft een datalek alleen aan betrokken personen te melden als het ernstige gevolgen kan hebben voor hun persoonlijke levenssfeer. Kunnen zij het slachtoffer worden van fysiek letsel, materiele schade of discriminatie door jouw datalek? Dan ben je verplicht het ook aan hen te melden. Vermoed je dat het lek voor betrokkenen niet schadelijk is? Dan hoef je het alleen te melden bij de Autoriteit Persoonsgegevens. Weet je het niet zeker? De Autoriteit Persoonsgegevens geeft hierover meer informatie.