How to… een datalek dichten

08 juni 2021 | dJ Talks

Help. Een datalek, wat nu? Of je nu veel of weinig met persoonsgegevens werkt, een datalek kan voor jou als ondernemer een echte nachtmerrie betekenen als je niet goed bent voorbereid. In deze blog bespreken we dan ook wat van jou verwacht wordt wanneer er zich een datalek voordoet, en waarop de GBA zal focussen om jouw aanpak te beoordelen.

Maar eerst, een datalek. Wat is dat eigenlijk?

In de GDPR wordt het begrip datalek niet gebruikt. Wél wordt er gesproken over een inbreuk in verband met persoonsgegevens. En uit deze definitie blijkt dan meteen dan het over veel meer gaat dan het woordje datalek doet vermoeden. Het gaat immers over de ongeoorloofde verspreiding of inzage in persoonsgegevens. Maar ook over de vernietiging, het verlies, of de wijziging van zulke gegevens. En dit allemaal als gevolg van een inbreuk op de beveiliging.

Inbreuk is niet hetzelfde als inbraak

Ook die “inbreuk op de beveiliging” gaat veel verder dan wat je op het eerste zicht zou vermoeden. Het gaat immers niet enkel over een computerinbraak, maar eigenlijk over elke handeling of werkwijze die onrechtmatig is, m.a.w. waarvan het niet de bedoeling was dat die zou plaats vinden. En ongeacht of dit dat opzettelijk was, dan wel per ongeluk.

Groot of klein, een datalek is een datalek

Het kan best zijn dat het datalek zo onbeduidend is, dat er zich bijna geen schade voordoet. Dat er nauwelijks schade is, betekent echter niet dat je kan doen alsof je neus bloedt. In elk geval heb je als verwerkingsverantwoordelijke de plicht om de schade zo veel mogelijk te beperken.

Drie scenario’s voor een datalek

  • Er zijn gegevens bekendgemaakt of iemand heeft toegang gekregen tot gegevens, terwijl dit niet de bedoeling was;
  • Data werden op ongeoorloofde manier gewijzigd;
  • De beschikbaarheid van de gegevens is aangetast doordat data zijn verloren gegaan, vernietigd of de toegang geblokkeerd werd.

Hoe kan zoiets gebeuren? Enkele voorbeelden uit de dagelijkse praktijk:

Ransomware attack

Iemand heeft bewust via een schadelijke code de toegang tot jouw computer, programma of bestanden geblokkeerd? Dan ben je het slachtoffer van een ransomware attack. Je zal dan geen toegang meer hebben tot bepaalde gegevens. Zo’n aanval kan zware hinder veroorzaken, zowel voor betrokkenen als voor de werking van jouw onderneming.  De schade zal beperkt zijn wanneer de bestanden en persoonsgegevens snel en makkelijk hersteld worden. De risico’s nemen echter toe in de mate dat de hacker erin slaagt om de gegevens zelf te onttrekken en op te slaan.

Diefstal

Een dief steelt laptops of papieren documenten waarop persoonsgegevens stonden? Minder technisch, maar eveneens een datalek te kwader trouw.

Verkeerde of onbedoelde geadresseerde

Het gebeurt wel eens dat iemand per ongeluk informatie verstuurt naar een verkeerde geadresseerde of een verkeerde bijlage verzendt. Als daar persoonsgegevens bij betrokken zijn, heb je een datalek.

Verlies van een usb-stick

Voor de sloddervosjes. Gaat er een usb-stick verloren, dan ben je daardoor misschien definitief gegevens kwijt of zouden (gevoelige) persoonsgegevens in verkeerde handen terecht kunnen komen. Een accidenteel datalek, maar mogelijk een met grote gevolgen.

Een datalek. En wat moet ik nu?

Wanneer een datalek aan het licht komt, zal de GBA jouw ondernomen acties bestuderen en sanctionerend optreden wanneer die ondermaats blijken te zijn. Zeker als jij verwerkingsverantwoordelijke bent! Voor de autoriteit is preventie minstens even belangrijk als genezing. Ons stappenplan weerspiegelt de elementen waarop de GBA voornamelijk zal focussen bij haar beoordeling.

Stap 1. Beter voorkomen dan genezen

Of een datalek nu opzettelijk dan wel per ongeluk plaatsvindt, van de verwerkingsverantwoordelijke wordt in ieder geval een gepaste aanpak verwacht. Als verantwoordelijke sta je immers in voor de integriteit en vertrouwelijkheid van gegevensverwerking. Dat houdt in dat je ervoor moet zorgen dat de gegevens waarover je beschikt, voldoende beveiligd zijn.

Hoe doe je dat? Door preventief de gepaste maatregelen ter harte te nemen, zowel om datalekken te voorkomen als de negatieve gevolgen ervan te beperken:

  • Evalueer regelmatig de risico’s voor gegevensbescherming, zowel die voor je bedrijf als die voor betrokkenen;
  • Wees voorbereid op mogelijke datalekken door een plan te voorzien zodat op het moment dat het gebeurt, duidelijk is welke stappen door wie genomen moeten worden;
  • Leid je personeel voldoende op en maak hen bewust van het data breach beleid zodat ze weten hoe ze een datalek kunnen vermijden, vaststellen en hoe ze met een datalek moeten omgaan. In het vakjargon heet dat het voorzien van een SETA-programma (security, education, training and awareness). Herhaal dergelijke opleidingen op tijd en stond. Hoe vaak is afhankelijk van het type en de omvang van de verwerkingsactiviteiten in de organisatie;
  • Beveilig data via encryptie, eventueel pseudonimisering en indien mogelijk, zelfs anonimisering;
  • Implementeer passende en effectieve anti-malware software;
  • Zorg dat alle gebruikte programma’s en besturingssystemen up-to-date worden gehouden;
  • Voorzie systematisch degelijke en regelmatige back-ups. Die zullen de gevolgen van een eventueel datalek aanzienlijk beperken.

Stap 2: Meld de inbreuk aan de GBA

In principe ben je verplicht om het datalek aan de GBA te melden, binnen de 72 uur, tenzij het onwaarschijnlijk is dat de inbreuk een risico vormt voor de rechten en vrijheden van de betrokkenen.

Je moet dus een risicobeoordeling doen en dat doe je op het moment dat je op de hoogte bent van het datalek. Om de risico’s voor de betrokkenen te evalueren, stel je je deze vragen:

  • Wat is de aard van de inbreuk?
  • Heeft het datalek betrekking op gevoelige gegevens?
  • Hoeveel persoonsgegevens zijn er betrokken?
  • Hoeveel datasubjecten/betrokkenen werden getroffen?
  • Hoe ernstig kunnen de nadelige gevolgen zijn voor betrokkenen?

In geval van twijfel, breng je toch best de autoriteit op de hoogte. Wat indien je het risico als onwaarschijnlijk kwalificeert en de GBA bijgevolg niet inlicht? En nadien doet dat risico zich tóch voor? Dan zal de niet-melding in jouw nadeel spelen en zou de GBA jou daar wel eens voor kunnen sanctioneren.

Stap 3: Meld de inbreuk aan de betrokkenen

Aan de betrokkenen zelf zal je de inbreuk alleen verplicht zijn te melden, wanneer het datalek waarschijnlijk een hoog risico vormt voor hun rechten en vrijheden.

Stap 4: Onderzoek en documenteer de inbreuk

Als verwerkingsverantwoordelijke moet je een datalek documenteren in een register.

Dat moet je doen bij elk datalek, ongeacht de eventuele risico’s. Deze interne documentatieplicht hangt samen met de verantwoordingsplicht (‘accountability principle’) van de verantwoordelijke. Herinner je: je zal altijd ook formeel, bij wijze van documenten, moeten kunnen aantonen dat je aan de GDPR verplichtingen voldoet.

Welke informatie moet je opnemen? De feitelijke omstandigheden van het datalek (“Waaruit bestaat het datalek precies?”), de nadelige gevolgen van het datalek en de maatregelen die je hebt genomen om die gevolgen te beperken.

Voorbeelden van nadelige gevolgen:

  • de bedrijfswerkzaamheden liggen stil;
  • betrokkenen kunnen ongevraagd direct marketing ontvangen of onderworpen worden aan phishing doordat hun persoonsgegevens gelekt zijn;
  • betrokkenen kunnen mogelijks het slachtoffer worden van identiteitsfraude;

Conclusie

Het is duidelijk dat een datalek een zware belasting vormt voor de verwerkingsverantwoordelijke. Het is dan ook belangrijk dat de onderneming hier zo goed mogelijk op is voorbereid, zodat niet onnodig moet geïmproviseerd worden.

Investeer in de gepaste maatregelen om datalekken te voorkomen, en zorg voor een duidelijk afgelijnd stappenplan en procedure wanneer het zich toch zou voordoen. Wik en weeg, en documenteer al je beslissingen.

Heb je hierbij begeleiding nodig, preventief of n.a.v. een incident? Contacteer onze specialisten op via hallo@dejuristen.be.

Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance