Datalek
Op het moment dat er bij een bedrijf een datalek ontstaat moeten er volgens de nieuwe privacywetgeving een aantal zaken geregeld worden. Het is van belang om hiervoor een protocol op te stellen zodat het voor iedereen duidelijk is wat er (snel!) moet gebeuren. De melding aan de Autoriteit Persoonsgegevens moet namelijk binnen 72 uur gedaan worden.
Incidenten
Allereerst moeten security incidenten en datalekken in een bedrijf centraal worden geregistreerd. Je kunt namelijk pas een goede inschatting maken van de risico’s die je loopt als je weet wat de dreigingen zijn. Neem als voorbeeld het ontvangen van phishing e-mails. Als de IT- of Security-manager niet op de hoogte is van het aantal phishing e-mails die dagelijks op de medewerkers worden afgevuurd, dan kan hij/zij ook geen goede inschatting maken van het risico.
Registratie
Centraal registreren van phishing e-mails is daarom van belang. Dit kan zeer eenvoudig gebeuren met een handige alert button die je in je browser kunt integreren. Eén druk op de knop en de betreffende phishing e-mal wordt uit je inbox verwijderd en (beveiligd) doorgestuurd naar een centraal persoon in uw bedrijf. Vraag Sebyde om meer informatie hierover.
Dreigingen
Een datalek kan op veel manieren ontstaan. De gegevens kunnen door cybercriminelen worden gestolen middels een hack-aanval, maar ook een gestolen laptop of telefoon is een datalek als er persoonsgegevens op staan. Ook het verliezen van data kan een datalek zijn. Een besmetting met Ransomware waarbij alle gegevens “op slot” worden gezet is ook een datalek en dient gemeld te worden bij de Autoriteit Persoonsgegevens. En let wel: Niet of te laat melden van een datalek kan leiden tot een onplezierige confrontatie met de Autoriteit Persoonsgegevens met “bindende aanwijzingen” en mogelijke boetes tot gevolg.
Aantoonbaar inzicht
De nieuwe privacywetgeving eist van bedrijven om aantoonbaar inzicht te hebben in de gegevensverwerkingen. Deze informatie dient altijd voorhanden te zijn voor de Autoriteit middels een actueel bijgehouden privacy administratie.
Melden
Maar ook is deze informatie noodzakelijk bij het melden van een datalek. Dit moet binnen 72 uur gebeuren dus deze informatie dient beschikbaar te zijn anders ben je te laat. Je moet exact weten welke gegevens het datalek betreft, hoeveel betrokkenen er zijn en wat de privacy risico’s zijn bij het lekken van die gegevens. Indien het datalek kan leiden tot een privacy-schending voor de betrokkenen moet het datalek óók gemeld worden aan alle betrokkenen!
Coordinatie
U begrijpt wel: De te nemen acties na een datalek vereist een goede coördinatie binnen uw bedrijf. Het afhandelen van een dergelijk serieus incident mag niet mislukken vanwege miscommunicatie of het ontbreken van coördinatie. Er moeten belangrijke vragen worden beantwoord over het ontstaan van het datalek, de gevolgen voor de betrokkenen en de te nemen stappen naar de Autoriteit Persoonsgegevens.
Team
We adviseren elk bedrijf om een “incident-team” samen te stellen die in het geval van een ernstig security-incident of een datalek zo snel mogelijk samenkomt om het opgestelde protocol te starten. Dit zijn beslist niet alleen mensen van de ICT-afdeling! In dit team zit vertegenwoordiging van het algemene management (ivm de aansprakelijkheidstelling), Marketing/PR (Datalekken krijgen media-aandacht!), de FG (Juridisch, beoordeling of er gemeld moet worden), en de IT-afdeling (wat is er exact gebeurd?).
Protocol
Stel daarom een protocol op. Wees voorbereid op deze situatie, het voorkomt veel problemen met je klanten, negatieve media-aandacht en de autoriteit Persoonsgegevens. Een goede privacy-administratie is hiervoor de basis. Als je niet weet wat je hebt kun je het ook niet beschermen!
Hulp
Sebyde adviseert u en ondersteunt bij het krijgen van inzicht in uw gegevensverwerkingen, het inrichten van de benodigde privacy administratie en het opzetten van een incident-protocol. Met onze RI&E-Privacy ondersteunen we u bij het voorbereiden op de nieuwe wetgeving en uw privacy compliance.
Neem contact op met Sebyde voor meer informatie: 085-2733376 of via e-mail: info@sebyde.nl