Home / Nieuws, Trends & Actualiteiten / Algemeen / AVG special – 3. Een datalek voorkomen

AVG special – 3. Een datalek voorkomen

Zoals in het vorige artikel aangegeven kunt u niet ieder datalek voorkomen. Waar mensen werken worden fouten gemaakt. Dit kan ook niet anders. U heeft echter als verwerker van persoonsgegevens op grond van artikel 5 lid 2 AVG een verantwoordingsplicht om aan de beginselen van de AVG te voldoen. Dit betekent dat u wel al het mogelijke, binnen zekere proporties, moet doen om een datalek te voorkomen. Wat betekent dat in de dagelijkse praktijk? Daarover in dit artikel meer.

Een datalek voorkomen door procedure

Start met een procedure datalekken in de organisatie. Dit geeft u houvast op het moment dat er sprake is van inbreuk op persoonsgegevens. U weet dan hoe te handelen. De grootste valkuil bij een datalek is dat er op dat moment nog bedacht moet worden wat er gedaan moet worden en dan gaat het juist mis. Al om te beginnen omdat dit tot onnodige vertraging zorgt waardoor de schade wellicht groter kan worden dan nodig is, maar bovenal het risico bestaat dat melding bij de Autoriteit Persoonsgegevens (AP), voor zover nodig, te laat gebeurt. U heeft hiervoor namelijk slechts 72 uur de tijd na het ontdekken van een datalek.

Register datalekken

Een procedure cq. beleid is dan ook noodzakelijk. Zorg tevens voor een register waarin inbreuken in verband met persoonsgegevens worden geregistreerd en wordt vastgelegd hoe de inbreuk is opgelost, welke aanpassingen er zijn gedaan in processen om een inbreuk in de toekomst te voorkomen en of er wel/geen melding bij betrokkene of de AP heeft plaatsgevonden en waarom. Dit draagt ook bij aan het leren van ‘fouten’. Daarnaast het advies om het ook bespreekbaar te maken in de organisatie.

Interne bewustwording

Het voorkomen van datalekken is zeker niet alleen een papieren exercitie. Waar het om gaat is dat alle medewerkers die persoonsgegevens verwerken goed geïnformeerd en bewust zijn dat ze met persoonsgegevens bezig zijn. Vraag hier dan ook bij ieder werkoverleg aandacht voor. Deel situaties met elkaar en leer van elkaar. Medewerkers moeten zich vrij voelen om een ‘fout’ te melden, zodat hierop direct actie kan worden genomen. Dit betekent delen en elkaar niet afrekenen op een fout.

In een personeelshandboek of gedragsregels kunt u de afspraken opnemen en hier eventueel een boete clausule aan toevoegen. Niet om direct de boete op te leggen bij een overtreding wellicht, maar in ieder geval medewerkers zeer bewust te maken van het belang om behoorlijk en zorgvuldig om te gaan met persoonsgegevens en zich te houden aan wet- en regelgeving.

Vergeet de techniek niet

Tenslotte is er natuurlijk ook de technische component die een belangrijke rol speelt. Denk hierbij ondermeer aan het volgende:

  • Zorg ervoor dat medewerkers, die persoonsgegevens verwerken, tot niet meer gegevens toegang hebben dan strikt noodzakelijk is voor hun functie.
  • Er controles plaatsvinden op het verwerken van persoonsgegevens, maar bovenal uw systemen goed beveiligd zijn en de beveiliging up to date wordt gehouden.
  • Alle medewerkers een eigen wachtwoord hebben, dat sterk is en regelmatig (denk aan 2-3 maandelijks) gewijzigd moet worden en niet gedeeld mag worden met anderen.
  • Maar ook duo-authenticatie is een goede beveiliging, die in de huidige tijdsgeest standaard zou moeten zijn.
  • Verder kunt u denken aan het niet e-mailen van persoonsgegevens via bijvoorbeeld loonstroken of jaaropgaven etc. Het beste is de systemen en processen zo in te richten dat medewerkers deze gegevens in een beveiligde portal kunnen downloaden. 

Datalekken en verwerkers

Als er zich een datalek voordoet bij een van je verwerkers, weet dan goed dat je daarvoor verantwoordelijk bent. De verwerker – denk bijvoorbeeld aan een bedrijf dat je gegevens opslaat – verwerkt namelijk in jouw opdracht én onder jouw instructies de gegevens die je aan hem verstrekt hebt. Bij een audit controleren we altijd of een bedrijf inzichtelijk heeft van welke verwerkers hij gebruik maakt. De plicht van een verwerker om datalekken aan jou te melden moet zijn opgenomen in een verwerkersovereenkomst. Bij de audit nemen we een steekproef van verwerkersovereenkomsten om te zien of dit ook is afgesproken. En voor de goede orde, ook de datalekken van verwerkers neem je op in je register en meld je aan de toezichthouder. De verwerker kan je hierbij helpen. Deze ondersteuning is overigens ook een verplichting die opgenomen moet zijn in de verwerkersovereenkomst.

Spoofing, wat kan je ertegen doen? Onze provider heeft een groot aantal maatregelen tegen misbruik bij e-mail. Maar hier hadden ze geen adequate maatregelen tegen.

Spoofing, tegenmaatregelen:  de combinatie van SPF, DKIM en DMARC wordt steeds meer geaccepteerd als oplossing tegen phishing. Toch blijkt dat, ook in Nederland, nog weinig bedrijven zich druk maken om deze tegenmaatregel. Wilt u meer weten? Neem dan contact met ons op, wij praten u graag bij.


Algemeen | AVG | Blogs, Specials en Opinie | Bureau Cicero | Nieuws, Trends & Actualiteiten | Privacy

De AVG Special is geschreven in partnerschap met Inge BrattingaVRF advocaten en het AVG Garant Keurmerk

Webinar: AVG waar moet je op letten

Wilt u meer weten? We hebben ook nog een webinar! Meld u hier aan voor de webinar van 20 oktober.