GDPR: Wat is nou eigenlijk een datalek?

In Yuki’s verwerkersovereenkomst worden de belangrijkste afspraken vastgelegd met betrekking tot de GDPR. De GDPR stelt zelf een aantal vereisten aan die verwerkersovereenkomst. Een van die vereisten is dat er afspraken worden gemaakt over het melden van datalekken aan elkaar, met als doel dat het datalek uiteindelijk correct en op tijd bij de Autoriteit Persoonsgegevens kan worden gemeld door de verwerkingsverantwoordelijke.

Inbreuk in verband met persoonsgegevens

“Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Zo is de term datalek in de AVG definities omschreven. Als organisatie probeer je de informatiebeveiliging zo goed mogelijk in te richten en vooraf te voorkomen dat data of gegevens in handen kunnen komen van onbevoegden of dat gegevens verloren kunnen gaan. Toch kan het door verschillende oorzaken voorkomen dat data wordt gelekt of dat er inbreuk wordt gemaakt op de informatiebeveiliging. Voor deze gevallen is het belangrijk dat je als organisatie procedures hebt opgesteld waarin staat beschreven hoe je omgaat met datalekken.

Procedure datalekken

Uiteraard sta je als organisatie vrij om de procedures rondom datalekken op basis van de structuur van de organisatie en op basis van eigen inzichten in te richten. Bij Yuki hanteren we al geruime tijd een standaardprocedure voor het geval zich een mogelijk datalek voordoet. De procedure wordt regelmatig getest zodat wij erop kunnen vertrouwen dat de procedure na verloop van tijd nog steeds effectief is. We geven graag aan wat belangrijke punten kunnen zijn voor een procedure met betrekking tot datalekken:

  • Het identificeren van een mogelijk datalek en daaropvolgende actie. Het is erg belangrijk om alle medewerkers binnen de organisatie bewust te maken van het fenomeen datalekken. Wat zijn mogelijke datalekken en hoe dient een medewerker te handelen indien hij/zij een mogelijk datalek constateert?
  • Laat daartoe aangewezen personen beoordelen of het gemelde incident daadwerkelijk een datalek is. Daarbij kan een beslisboom worden opgesteld met relevante vragen, zoals:
    • Zijn er persoonsgegevens gelekt?
    • Zijn er grote hoeveelheden of specifiek gevoelige gegevens gelekt?
    • Wordt de levenssfeer van de betrokkenen, waarover de gelekte gegevens gaan, aangetast?

Antwoorden op zulke vragen kunnen als resultaat opleveren dat een melding moet worden gedaan aan de Autoriteit persoonsgegevens en/of aan de betrokken personen. Voor het opstellen van de beslisboom kunnen de beleidsregels meldplicht datalekken worden gebruikt.

  • Stel een onderzoeker aan om verdergaand onderzoek uit te voeren. In de procedure kunnen richtlijnen opgenomen worden hoe het onderzoek wordt verricht en welke termijnen daarin worden gehanteerd.
  • Stel regels op met betrekking tot het melden van het datalek aan de Autoriteit persoonsgegevens. Daarbij kan relevant zijn wie de melding doet, binnen welke tijdspad dit dient te gebeuren en hoe de melding wordt gedaan.
  • Stel regels op met betrekking tot het melden aan desbetreffende betrokkenen. Daarbij kan relevant zijn wie de melding doet, aan wie en hoe de melding zal geschieden en welke informatie wordt meegegeven aan de betrokkenen.
  • Je zult als organisatie moeten evalueren hoe een dergelijk datalek is ontstaan en hoe dit in de toekomst kan worden voorkomen. Neem naar aanleiding van een ontstaan datalek dan ook de nodige verbetermaatregelen.
  • Tenslotte is het belangrijk dat er een register wordt bijgehouden van de datalekken die zijn ontstaan. Leg daarbij ook vast hoe je je eigen opgestelde procedure hebt doorlopen en wat de conclusies daaruit zijn geweest.

Datalekken met Yuki als verwerker

De bovenstaande aandachtspunten voor een procedure datalekken zijn voor een procedure waarin een organisatie de rol verantwoordelijke inneemt. Indien Yuki in haar rol als verwerker een datalek ontdekt, zal Yuki niet zelf de melding doen aan de Autoriteit persoonsgegevens. Op grond van de AVG is de verwerkingsverantwoordelijke de aangewezen partij om een melding van een datalek te doen aan de Autoriteit. Zoals in de verwerkersovereenkomst is vastgelegd is het aan Yuki als verwerker, om een datalek zo snel mogelijk te melden aan de partij in opdracht waarvan Yuki persoonsgegevens verwerkt. Dit is belangrijk, zodat de verwerkingsverantwoordelijke op zijn beurt op tijd een melding van het datalek kan doen aan de Autoriteit persoonsgegevens. Uiteraard zal Yuki alle noodzakelijke medewerking verlenen aan het verschaffen van informatie die benodigd kan zijn voor het onderzoek.

Jildou de Vries

Jildou de Vries

Bij Yuki werk ik als Marketeer. Ik houd mij bezig met alle (online) marketing activiteiten, zoals de website, social media, events & SEA en SEO.