5 stappen die bedrijven moeten nemen bij een datalek
U moet actie ondernemen als er een datalek plaatsvindt. Sterker nog, vijf stappen vormen de minimale acties die u moet uitvoeren. En heeft u de stappen doorlopen? Start dan een evaluatie om herhaling van het datalek te voorkomen.
Dit zijn de vijf stappen die bedrijven moeten zetten als er een datalek plaatsvindt:
Creëer overzicht over de situatie;
Neem maatregelen om de schade te beperken en herhaling te voorkomen;
Bepaal of u het datalek moet melden bij de AP;
Bepaal of u het de betrokkenen moet melden;
Registreer het datalek in het datalekregister.
1. Creëer overzicht over de situatie
Analyseer de situatie en zorg dat u weet wat er is gebeurd. Schat bovendien de omvang van het lek in. Probeer te achterhalen hoe het datalek is ontstaan. Gaat het bijvoorbeeld om gelekte gegevens, vernietigde gegevens of gewijzigde gegevens?
Let op: zijn er gegevens gelekt? Zoek uit wie er (mogelijk) toegang hebben (gehad) tot welke (persoons)gegevens. Die informatie is nodig om de volgende stappen uit het actieplan bij datalekken te kunnen zetten.
2. Neem maatregelen om de schade te beperken
Zodra duidelijk is hoe het datalek is ontstaan moet u maatregelen nemen om eventuele schade te beperken en herhaling te voorkomen. Beëindig het datalek en probeer zoveel mogelijk schade te voorkomen. Beperk schade die er is ontstaan.
Neem de maatregelen onmiddellijk. Is er bijvoorbeeld een laptop gestolen? Wis die op afstand.
Schat ondertussen in welke risico’s het datalek nog meer kan opleveren. U heeft die informatie nodig om de volgende stap te kunnen zetten.
3. Bepaal of u het datalek moet melden bij de Autoriteit Persoonsgegevens (AP)
Bedrijven hoeven niet alle datalekken te melden bij de Autoriteit Persoonsgegevens (AP). De ‘Voorbeeldlijst wel/niet melden datalek’ laat precies zien in welke gevallen dat verplicht is. Moet u het datalek melden bij de AP? Doe dat binnen 72 uur nadat u het lek heeft ontdekt.4. Bepaal of u het de betrokkenen moet melden
Bepaal daarnaast of u het datalek moet melden bij betrokken personen. Is er sprake van een hoog risico voor de rechten en vrijheden van de betrokkenen? Dan bent u als bedrijf verplicht om het datalek bij hen te melden.
Let op: of u het datalek moet melden bij betrokken personen, staat los van of u het lek bij de Autoriteit Persoonsgegevens moet melden. Bepaal altijd of de rechten en vrijheden van betrokkenen een hoog risico lopen. Is dat het geval? Dan moet u het datalek bij betrokkenen melden.
5. Registreer het datalek in het datalekregister
Registreer het datalek altijd in het verplichte datalekregister. Dit geldt ook voor datalekken die u niet hoeft te melden aan de Autoriteit Persoonsgegevens en die u niet hoeft te melden aan betrokken personen.
Alle datalekken moeten worden geregistreerd in het datalekregister dat iedere onderneming moet hebben.
Tip: benieuwd hoe u zorgt voor een professioneel datalekregister? Gebruik de 10 tips van de Autoriteit Persoonsgegevens.Cyberbescherming voor ondernemers
Voorkomen is beter dan genezen, zelfs als er al een keer een datalek heeft plaatsgevonden. Met de Cyberrisicoscan brengt u binnen 5 minuten de digitale weerbaarheid van uw onderneming in kaart en ontdekt u op welke punten uw cybersecurity beter kan. U vindt de Cyberrisicoscan via het blok onderaan dit artikel.
Wilt u de cybersecurity van uw onderneming verbeteren direct verbeteren? Kies voor de complete cyberbescherming voor ondernemers. Met Cyber Veilig & Zeker treft u de juiste maatregelen om veilig (online) zaken te kunnen doen. U vindt meer informatie over Cyber Veilig & Zeker via het blok aan de rechterzijde.