Datalekken en Cyberaanvallen

Het is veel in het nieuws, cyberaanvallen en datalekken. Ze vormen de grootste risico’s voor het bedrijfsleven. Naar verluidt kampte bijna driekwart van de grote Nederlandse bedrijven in 2019 met minstens één cyberaanval. Een kwart constateerde meerdere incidenten. Uit onderzoek van Censuswide in opdracht van Proofpoint (2019) blijkt dat menselijke fouten en gebrek aan veiligheidsbewustzijn gelden als de grootste beveiligingsrisico’s.

WAT IS EEN DATALEK EIGENLIJK?

Een datalek omvat alle incidenten over beveiliging waardoor de bescherming van persoonsgegevens wordt doorbroken met als gevolg dat de persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens.

MELDPLICHT BIJ EEN DATALEK

Wanneer u toch ten prooi bent gevallen aan een datalek vormt dit een groot risico voor uw bedrijf. Het betekend dat persoonsgegevens in handen zijn gevallen van derden die geen toegang tot deze gegevens hadden mogen hebben. Vaak is de oorzaak hiervan een beveiligingsprobleem of nalatigheid van de medewerkers in de verwerking en afhandeling van privacygevoelige informatie.

Al voor de AVG haar intreden maakte in Nederland was er de Wet Meldplicht Datalekken. Deze wet is in 2018 door de AVG vervangen. Als u te maken heeft gekregen met een datalek moet u hier volgens de Algemene Verordening Gegevensbescherming binnen 72 uur na ontdekking een melding van maken bij de toezichthouder.

WAT HOUDT EEN MELDPLICHT IN?

Deze meldplicht houdt in dat u als bedrijf, overheid of andere organisatie die met persoonsgegevens te maken hebben deze datalekken moet melden aan de Autoriteit Persoonsgegevens (AP). Soms komt het ook voor dat u de persoon die het slachtoffer is geworden van een datalek op de hoogte dient te stellen maar dit is alleen van toepassing als er risico’s bestaan voor de privacy van de betrokken persoon.

De meldplicht is er om te zorgen dat de gevolgen die een datalek kunnen hebben zoveel mogelijk beperkt kunnen worden. De meldplicht zorgt daarbij voor behoud en herstel van beschadigd vertrouwen in de omgang met persoonsgegevens.

Voor het melden van een datalek geldt dat er sprake moet zijn “van het lekken van data en dat het lekken van onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens tot gevolg heeft” (AP, 2020). Het vernietigen van gegevens valt dus niet direct onder een datalek.

WAT TE DOEN BIJ EEN DATALEK?

Als een database met persoonsgegevens is vernietigd, maar beschikbaar is door middel van een actuele back-up kan de database direct weer worden opgebouwd waardoor er geen sprake is van datalekken. Hieronder een aantal punten die u kunt opvolgen bij de ontdekking van een datalek:

  • Contact zoeken met de betrokken partijen en alle acties en gebeurtenissen rapporteren
  • Het veiligstellen van data en bewijsmateriaal zoals logfiles van de servers
  • Indien nodig een persverklaring opstellen en betrokkenen informeren
  • Inschakelen van een juridische afdeling (intern of extern)
  • Samenstellen van een werkgroep deze het datalek monitort en afhandelt

HANDHAVING AUTORITEIT PERSOONSGEGEVENS

Wanneer u besluit een datalek niet te melden kan de Autoriteit Persoonsgegevens u een fikse boete opleggen van maximaal 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet van de organisatie.

Deze boetes worden niet alleen opgelegd aan de persoon verantwoordelijk voor de verwerking van de persoonsgegevens maar ook aan degene die in opdracht met de verwerking van deze persoonsgegevens is belast.

MULTISCAN EN CONTROLE OP DATALEKKEN

Bij Multiscan voeren wij als u wenst een extra controle uit op datalekken. Het kan voorkomen dat er een document van een personeelslid of patiënt terecht is gekomen in een ander personeels- of patiëntendossier.

Om te voorkomen dat er een document naar voren komt die niet het dossier thuishoort, kunnen wij een extra controleslag inbouwen. Geautomatiseerd wordt er een controle uitgevoerd op achternaam in ieder document. Documenten waarbij geen herkenning heeft plaatsgevonden worden visueel gecontroleerd. Bij constatering van een afwijking wordt het betreffende document gekoppeld aan het juiste personeelsdossier.

Neem geen risico op datalekken. Wilt u meer weten over het veilig laten digitaliseren van uw archief volgens de richtlijnen van de AVG? Neemt u dan contact op met één van onze specialisten of vraag een vrijblijvende offerte aan via info@multiscan.nl.