Het recente datalek bij Odido, waarbij persoonsgegevens van miljoenen klanten in handen van criminelen terechtkwamen, laat opnieuw zien hoe kwetsbaar organisaties kunnen zijn. Datalekken ontstaan vaak onverwacht en zelfs goed beveiligde organisaties kunnen ermee te maken krijgen.
In het geval van een datalek als deze is het essentieel dat de getroffen organisatie zo snel mogelijk handelt en de juiste stappen onderneemt om de schade te beperken. De Autoriteit Persoonsgegevens heeft voor dergelijke gevallen een procedure vastgesteld. In dit artikel leggen we stap voor stap uit welke maatregelen genomen moeten worden zodra een datalek wordt ontdekt
Wat is er precies gebeurd?
Ten eerste is het belangrijk om te achterhalen wat voor soort datalek uw organisatie heeft getroffen. De Autoriteit Persoonsgegevens beschrijft de volgende soorten:
- Een inbreuk op de vertrouwelijkheid: Een (onbevoegd) persoon heeft, al dan niet per ongeluk, toegang gehad tot persoonsgegevens of deze openbaar gemaakt.
- Inbreuk op de integriteit: Een (onbevoegd) persoon heeft, al dan niet per ongeluk, wijzigingen aangebracht in persoonsgegevens.
- Inbreuk op de beschikbaarheid: Een (onbevoegd) persoon heeft, al dan niet per ongeluk, persoonsgegevens vernietigd of de toegang van de organisatie tot de gegevens geblokkeerd.
Wanneer u erachter bent gekomen onder welke soort het datalek valt zijn er een aantal vragen die u moet beantwoorden om een dieper begrip te krijgen van het datalek. De volledige lijst is te vinden in dit artikel van De Autoriteit Persoonsgegevens, deze bevat vragen als: “Wat is de oorzaak?”, “Wanneer is het datalek ontstaan?” En “Wat voor soort persoonsgegevens zijn er gelekt?” Het soort datalek dat bij Odido heeft plaatsgevonden is vooralsnog niet bekend.
Welke maatregelen moet u nemen?
Wanneer u de situatie begrijpt, is het tijd om passende maatregelen te nemen. Een incident response plan is bij deze stap cruciaal. Zo'n plan operationaliseert artikel 32 AVG door vooraf vast te leggen welke acties ondernomen moeten worden om verdere schade te beperken, risico’s te beoordelen, meldplichten na te komen en herhaling te voorkomen. Zonder een dergelijk plan ontstaat vertraging, onduidelijkheid en verhoogd risico op verdere schending van persoonsgegevens. Het stoppen van het datalek, als dit nog gaande is, zou altijd de hoogste prioriteit moeten hebben. Andere maatregelen kunnen per situatie verschillend zijn. Een Security Officer of CISO kan u helpen bij het opstellen van een Incident Response Plan. Bij een datalek door een cyberaanval wordt er van organisaties verwacht dat zij de hulp inroepen van een forensisch expert vanwege de complexiteit van dergelijke aanvallen.
Wat zijn de risico's voor de slachtoffers?
Er wordt van organisaties verwacht dat zij een risico inschatting maken voor de slachtoffers. Wanneer de gegevens kunnen worden gebruikt voor identiteitsfraude, phishing, bent u verplicht de slachtoffers te informeren. In het geval van Odido is dit ook het geval, zij geven aan de slachtoffers binnen 48 uur te informeren. Voor nu raden zij klanten aan extra alert te zijn op verdachte contactpogingen.
Bij het informeren van de slachtoffers is het belangrijk dat u snel, duidelijk en begrijpelijk uitlegt wat er is gebeurd, welke gegevens er zijn gelekt en welke gevolgen dit kan hebben. Geef concreet advies over hoe zij zichzelf kunnen beschermen en beschrijf welke maatregelen uw organisatie neemt om het lek te dichten en herhaling te voorkomen. Vermeld ook een contactpunt waar slachtoffers terecht kunnen met vragen.
Moet het datalek gemeld worden?
In bijna alle gevallen moet het datalek binnen 72 uur gemeld worden bij De Autoriteit Persoonsgegevens. Zij geven u bij melding verdere informatie over het datalek en hoe u schade kunt beperken. Het datalek hoeft niet gemeld te worden wanneer het geen negatieve gevolgen heeft voor de slachtoffers. Dat komt echter bijna nooit voor.
Wilt u meer informatie over hoe u zich kunt wapenen tegen een datalek? Neem contact met ons op.
Bron: Hack bij Odido, gegevens miljoenen klanten in handen van criminelen
Bron: Datalek? Dit moet u doen | Autoriteit Persoonsgegevens