Een verkeerd geadresseerde e-mail, een vergeten update of een gerichte cyberaanval; datalekken en andere incidenten rondom cybersecurity zijn in het huidige digitale tijdperk helaas niet meer weg te denken. De gevolgen kunnen groot zijn. Snel en zorgvuldig handelen is daarom cruciaal. Maar, wat kwalificeert nu precies als een datalek of cyberincident, hoe voorkom je dit én wat moet je doen als het kwaad al is geschied?

Deel 1: Wat is een datalek?

In dit eerste deel staan wij stil bij de vraag wat een datalek is en geven we het stappenplan 'Eerste hulp bij datalekken & cyberincidenten' mee.

Wat is een datalek?

We spreken van een datalek als er volgens de Algemene Verordening Gegevensbescherming (AVG) een "inbreuk in verband met persoonsgegevens" is. Dit houdt in dat persoonsgegevens door een inbreuk op de beveiliging verloren zijn gegaan, vernietigd of gewijzigd, dat er ongeoorloofde toegang toe is verkregen of dat deze ongeoorloofd zijn verstrekt. Dat hoeft niet met kwade bedoelingen te gebeuren. Ook een e-mail waarbij de ontvangers per ongeluk in de cc in plaats van de bcc zijn opgenomen kan al een datalek zijn.

Datalekken zijn grofweg in drie categorieën te verdelen:

• Inbreuk op de vertrouwelijkheid: persoonsgegevens worden ingezien door of gedeeld met onbevoegden.
• Inbreuk op de integriteit: persoonsgegevens worden onbedoeld of ongeoorloofd gewijzigd.
• Inbreuk op de beschikbaarheid: persoonsgegevens zijn (tijdelijk) niet toegankelijk of worden vernietigd.

Een datalek is vaak een cyberincident, maar niet elk cyberincident is ook een datalek. Een datalek moet meestal worden gemeld aan de Autoriteit Persoonsgegevens, maar niet altijd. Betrokken personen hoeven alleen te worden ingelicht als er voor hen een hoog risico is. Andere partijen moeten worden geïnformeerd volgens de contractuele afspraken die zijn gemaakt.

Gevolgen

De gevolgen van een incident zijn vaak groot. Zo kunnen diensten of producten ontoegankelijk zijn, denk bijvoorbeeld aan elektronische patiëntdossiers die niet geraadpleegd kunnen worden. Ook kunnen gevoelige gegevens op straat komen te liggen, zoals recent het geval was bij het datalek bij het laboratorium voor het bevolkingsonderzoek naar baarmoederhalskanker.

Organisaties kunnen daarnaast te maken krijgen met verminderd klantvertrouwen, reputatieschade en hoge herstelkosten. Betrokkenen kunnen te maken krijgen met reputatieschade en identiteitsfraude. Als blijkt dat de AVG overtreden is, dan kunnen betrokkenen die schade hebben geleden schadevergoeding claimen en kan de AP een waarschuwing geven of boete opleggen.

Zie voor een aantal tips ook het eerder verschenen blog: Datalekken in de praktijk: drie tips | Ploum.

Deel 2: De meldplicht datalekken

Nadat is vastgesteld dat het incident kwalificeert als een datalek, is het belangrijk om na te gaan of het datalek ook gemeld moet worden. In dit tweede deel wordt stilgestaan bij de vraag wanneer en aan wie een datalek gemeld moet worden.

Meldplicht datalekken

Nadat is vastgesteld dat het incident kwalificeert als een datalek, is het belangrijk om na te gaan of het datalek ook gemeld moet worden aan:

• De Autoriteit Persoonsgegevens (de 'AP');
• De personen van wie persoonsgegevens bij het datalek betrokken zijn (de 'betrokkenen'); en
• Andere partijen, als daar contractuele afspraken mee zijn gemaakt.

Het melden van een datalek aan de AP en de betrokkenen is een verplichting van de verwerkingsverantwoordelijke. Maar als verwerker moet je datalekken wel op tijd aan de verwerkingsverantwoordelijke melden, volgens de contractuele afspraken die daarover zijn gemaakt.

Het kan zijn dat een datalek ook gemeld moet (gaan) worden aan het Nationaal Cyber Security Centrum. Daar komen we in een van onze volgende blogs in deze blogreeks nog op terug.

Wanneer moet een datalek gemeld worden aan de AP?

De hoofdregel is dat een datalek binnen 72 uur na kennisname gemeld moet worden aan de AP. Dat hoeft niet in het geval dat het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de bij het datalek betrokken personen. Het risico kan bestaan uit discriminatie, identiteitsdiefstal of -fraude, financieel verlies, reputatieschade, verlies van vertrouwelijkheid of ander nadeel. Om het risico te bepalen, moet een risicobeoordeling worden gemaakt. Deze risicobeoordeling kan worden gemaakt aan de hand van de volgende factoren:

• De aard van het datalek;
• De aard, gevoeligheid en omvang van de persoonsgegevens die bij het datalek betrokken zijn;
• Het gemak waarmee de betrokken personen kunnen worden geïdentificeerd;
• De ernst van de gevolgen voor de betrokken personen;
• Eventuele bijzondere kenmerken van de betrokken personen (bijv. kinderen of patiënten);
• Eventuele bijzondere kenmerken van de verwerkingsverantwoordelijke (bijv. een ziekenhuis of andere medische instelling); en
• Het aantal getroffen personen.

Wanneer moet een datalek gemeld worden aan de betrokkenen?

Het datalek moet zo snel als mogelijk worden gemeld aan de betrokken personen als het waarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokken personen. Deze beoordeling vindt plaats aan de hand van dezelfde punten als die hierboven zijn weergegeven.

In de volgende situaties hoeft het datalek niet te worden gemeld aan de betrokken personen:

• De verwerkingsverantwoordelijke heeft passende technische en organisatorische maatregelen genomen ter bescherming van de persoonsgegevens die bij het datalek betrokken zijn. Bijvoorbeeld door de gegevens te versleutelen waardoor derden niets met de gegevens kunnen.
• De verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de betrokken personen zich waarschijnlijk niet meer zal voordoen.
• De melding aan de betrokken personen vergt een onevenredige inspanning. Bijvoorbeeld wanneer contactgegevens niet kunnen worden achterhaald. In dat geval kan een openbare melding volstaan.
• De verwerkingsverantwoordelijke is een financiële onderneming (als bedoeld in de Wet op het financieel toezicht).
• Er zijn andere legitieme redenen om niet te melden, zoals de nationale veiligheid, opsporing van strafbare feiten of in het kader van de journalistiek.

Wanneer moet een datalek gemeld worden aan andere partijen?

Een datalek moet gemeld worden aan andere partijen als daar met die andere partijen afspraken over zijn gemaakt. Als jouw organisatie verwerker is voor een andere organisatie, moet een datalek in elk geval op tijd worden gemeld aan de organisatie die de verwerkingsverantwoordelijke is. De exacte tijd waarbinnen deze melding moet worden gedaan is meestal opgenomen in de verwerkersovereenkomst.

Handhaving door de AP

Het niet, niet correct of niet op tijd melden van een meldplichtig datalek aan de AP of betrokkenen, is een overtreding van de Algemene Verordening Gegevensbescherming ('AVG'). Bij overtredingen van de AVG kan de AP optreden. De AP kan bijvoorbeeld een waarschuwing of een boete opleggen en die publiceren. Boetes onder de AVG kunnen per overtreding oplopen tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (als dat hoger is). Als er meer aan de hand is, kunnen boetes oplopen tot de dubbele bedragen (20 miljoen euro of 4% van de jaaromzet).

Deel 3: De inhoud van de meldingen en interne registratie

In dit derde en laatste deel gaan we in op de inhoud van de meldingen en de interne registratie van datalekken.

Inhoud van de melding bij de AP

Is er sprake van een meldplichtig datalek, dan moet de melding aan de AP volledig, zorgvuldig en tijdig (binnen 72 uur na kennisname) worden gedaan. Onvolledige of onduidelijk geformuleerde meldingen kunnen leiden tot aanvullende vragen van de AP.

Voor de melding aan de AP moet het formulier op de website van de AP worden ingevuld. In het formulier moeten uitgebreide vragen over het datalek worden beantwoord. Denk aan vragen over de oorzaak en omvang van het datalek, de gelekte persoonsgegevens, de betrokken personen, de (mogelijke) gevolgen en de getroffen maatregelen. Maar het formulier bevat bijvoorbeeld ook vragen over andere betrokken organisaties, het informeren van de betrokken personen en eventuele meldingen aan andere toezichthouders. Is niet alle informatie direct beschikbaar, dan kan op een later moment een vervolgmelding bij de AP worden gedaan.

Inhoud van de melding aan betrokkenen

Wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de bij het datalek betrokken personen, moeten ook zij meestal worden geïnformeerd. Deze communicatie moet plaatsvinden in duidelijke en eenvoudige taal en mag niet onnodig technisch of verhullend zijn.

De melding aan betrokkenen bevat ten minste:

• Een omschrijving van de aard van het datalek;
• De naam en contactgegevens van de Functionaris voor de Gegevensbescherming (FG) of een ander contactpunt;
• Een beschrijving van de waarschijnlijke gevolgen van het datalek; en
• Een beschrijving van de maatregelen die zijn voorgesteld of genomen, waaronder maatregelen ter beperking van eventuele nadelige gevolgen.

Inhoud van de melding aan contractspartijen

Vergeet ook niet om eventuele contractspartijen op tijd te informeren. Voor de inhoud van de melding moeten de afspraken worden gevolgd die in het contract hierover zijn gemaakt.

Interne registratie in het incidenten- en datalekkenregister

Je bent als organisatie verplicht om datalekken ook intern vast te leggen, zowel in het geval dat deze wel als niet meldplichtig zijn.

Het is daarom belangrijk om een incidenten- en datalekkenregister te voeren. Wij adviseren om daarin bij ieder datalek in ieder geval de volgende informatie op te nemen:

• De datum en het tijdstip waarop het datalek is ontdekt;
• De datum en het tijdstip waarop het incident heeft plaatsgevonden;
• Een omschrijving van het incident;
• Een omschrijving van de (potentiële) gevolgen van het incident;
• Welke corrigerende en preventieve maatregelen zijn getroffen;
• Of het incident is gemeld bij de AP;
• Of het incident is gemeld aan de betrokkenen;
• Of de Functionaris voor de Gegevensbescherming (FG) is geraadpleegd (indien van toepassing);
• Welke andere organisaties of verwerkers bij het datalek betrokken zijn;
• Eventuele aanvullende opmerkingen; en
• De naam van degene die de registratie heeft gedaan.

Een zorgvuldig bijgehouden incidenten- en datalekkenregister is niet alleen van belang in het kader van toezicht door de AP, maar helpt ook om inzicht te krijgen in terugkerende risico's en om processen en beveiligingsmaatregelen te verbeteren.

Eerste hulp bij datalekken & cyberincidenten: het stappenplan

Wat doe je als het misgaat? Het is niet altijd mogelijk om een datalek of ander cyberincident te voorkomen. Om organisaties te helpen, hebben wij een praktisch stappenplan 'Eerste hulp bij datalekken & cyberincidenten' opgesteld. Dit stappenplan bestaat uit de volgende stappen:

1. Breng de situatie in kaart.
2. Bel de verzekeraar.
3. Stel een crisisteam samen.
4. Neem direct maatregelen.
5. Check meldplicht bij het NCSC (binnen 24 uur).
6. Meld een datalek bij de AP (binnen 72 uur).
7. Informeer de betrokken personen.
8. Onderzoek alternatieve leveranciers of dienstverleners.
9. Doe aangifte bij de politie.
10. Werk meldingen tijdig bij.
11. Leg het incident vast in het interne register.
12. Onderzoek of schade te verhalen is.
13. Voorkom herhaling.

Via onderstaande knop is het uitgebreide stappenplan in een infographic te bekijken.

Stappenplan 'Eerste hulp bij datalekken & cyberincidenten'