Richard Ridderhof is compliance officer bij Wolters Kluwer Tax and Accounting NL en weet alles van de privacywetgeving en hoe je moet handelen in het geval van een datalek in een organisatie. WIj vroegen hem naar de gevolgen van een lek en welke stappen je moet nemen om verdere schade te voorkomen.
'Als boekhoudprofessionel kun je verschillende rollen hebben als het gaat om klantgegevens. Soms ben je er verantwoordelijk voor en soms ben je alleen verwerker. In alle gevallen is het van belang om zorgvuldig met persoonsgegevens om te gaan. Als je te maken hebt met een datalek, dan bestaat de kans dat er klantgegevens op straat komen te liggen. Met een mogelijke boete van de Autoriteit Persoonsgegevens (AP) als gevolg. Erger nog is als je hierdoor reputatieschade oploopt en klanten geen zaken meer met je willen doen omdat ze twijfelen aan je betrouwbaarheid.'
Zorg voor overzicht
'Essentieel is dat je iemand aantstelt die datalekken of privacy-incidenten ter plekke kan afhandelen. Wat ook heel belangrijk is, is dat iedereen in de organisatie weet wat een datalek is, en waar hij of zij deze kan melden. Maak bijvoorbeeld een e-mailadres aan waar iedereen met vragen terecht kan. Bijvoorbeeld: [email protected]. Daarmee verlaag je een grens en zullen mensen ook kleinere incidenten voor de zekerheid doorsturen. Openheid en eerlijkheid is echt heel belangrijk om schade te voorkomen. Zorg dus voor een open bedrijfscultuur in je bedrijf. Zodat zaken niet onder de pet blijven en mensen durven te melden. Train personeel over datalekken en zorg bijvoorbeeld voor een bewustzijnstraining.'
Datalek onderzoek
Wat is er gelekt?
'Op het moment dat de melding wordt gedaan, gaat de persoon die hiervoor verantwoordelijk is gesteld op onderzoek uit. Wat is er precies gelekt? Hij stelt vragen aan de melder. Soms komt het pas veel later naar buiten dat er een datalek is geweest. Er stond in de beveiliging een poortje open en dat is niet gezien. Dan kom je er pas heel laat achter dat er persoonsgegevens zijn gelekt. Dan is het lastiger, omdat je een langere tijd een risico hebt gelopen. Je kunt pas handelen als je weet dat er een lek is. Dus daarom is openheid zo belangrijk. Zodat iedereen zich vrij voelt om direct een datalek te melden en er onderzoek kan plaatsvinden.'
Wanneer en hoe is er gelekt?
'Allereerst onderzoek je wanneer het incident is voorgevallen. Dit is belangrijk omdat wanneer er sprake is van melden bij de Autoriteit Persoonsgegevens, dit binnen 72 uur moet gebeuren. Vervolgens ga je na om welke persoonsgegevens het gaat. Is het een naam plus adres, of gaat het om gevoeliger gegevens zoals salaris- of creditcard? Hoe is het gebeurd? Zeker niet onbelangrijk: de verantwoordelijke voor het onderzoek legt alles vast op ‘papier’ in een rapport. Ook alle correspondentie (mail, verslag van gesprek etc) moet je bewaren. Dit is heel belangrijk als toch de Autoriteit Persoonsgegevens (AP) op de stoep staat. Op deze manier kun je aantonen wat je als bedrijf hebt gedaan in het geval van een datalek.'
Rapporteren aan Autoriteit Persoonsgegevens
'In het rapport van een datalek hoort de datum van het lek en wanneer het is ontdekt. Maar ook wanneer het onderzoek is afgerond. Je geeft ieder incident een nummer en beschrijft de gebeurtenissen. Uiteraard schrijf je op welke persoonsgegevens zijn gelekt en of de AP en/of betrokkenen zijn ingelicht. Beschrijf ook welke maatregelen er zijn genomen om nog een keer te voorkomen.'
Meldplicht datalekken
'Het is heel belangrijk dat er op tijd wordt gehandeld. Je bent namelijk verplicht om binnen 72 uur een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Noteer dus in je rapport de deadline van het al dan niet melden van de datalek bij de AP.
Maatregelen om een datalek te voorkomen
In het rapport neem je ook mee welke maatregelen je neemt om ervoor te zorgen dat het niet nog een keer gebeurt. In de meeste gevallen ontstaat een datalek namelijk door een menselijke fout. Dan kun je hameren op procedures, trainingen geven over privacy. In het geval van een beveiligingsrisico zorg je ervoor dat het gat weer is gedicht. Heeft een archiefkast open gestaan, dan wordt hij nu iedere avond weer op slot gedaan. Je kunt niet risico’s dichttimmeren, maar je kunt er wel voor zorgen dat er een hele kleine kans is.' Download de whitepaper Bescherm jouw kantoor tegen een datalek.Melden aan betrokkenen
'Is er sprake van een hoog risico? Dan meld je het aan de betrokkenen, dus de personen wiens gegevens gelekt zijn. Er kan ook al een risico zijn bij eenvoudige gegevens als naam en adres. Dat verschilt per geval. Wanneer je het bij de AP meldt hoef je het niet altijd bij de betrokkene te melden. Bij de AP meld je namelijk als er een 'normaal' risico is, bij de betrokkene bij een 'hoog' risico. Verder is het soms toch verstandig om een datalek aan de betrokkenen te melden in het kader van klantvriendelijkheid. Het kan zijn dat jij als accountant verwerker bent. Bijvoorbeeld voor een alarisadministratie. Dan heb jij de verplichting om alle medewerking te verlenen zodat jouw klant zijn datalek goed kan indienen bij de AP.
Processen aanpassen
Leer ervan dat het niet nog een keer kan gebeuren. Bekijk of er procedures zijn die moeten worden aangepast. En bekijk of ze wel worden nageleefd. Het melden van een eventueel datalek moet eigenlijk een automatisme worden. Zodat iedereen in de organisatie ergens in zijn achterhoofd heeft dat het kan gebeuren. Daarbij kan bewustwording en kennis van datalekken een hele belangrijke rol spelen. Streef naar een open cultuur zodat mensen niet keihard worden afgerekend. Dat ze wel durven te melden dat ze een datalek hebben.
Veilig omgaan met data
Als je veilig om wil gaan met gegevens, is het van belang dat je goed nadenkt wat je allemaal wilt weten. Vraag geen geboortedatum als dat niet nodig is. Houd je aan je doel waarom je gegevens opslaat. De AP deelt echt boetes uit aan organisaties die voor een ander doel gegevens gebruiken. Bijvoorbeeld om ze door te verkopen. Vroeger was het allemaal heel overzichtelijk, nu bestaat er zoveel data. Daarom zijn er die regels van de AVG, zodat er met jouw gegevens niet zomaar wat wordt gedaan achter je rug om.
Download het stappenplan
Download het Stappenplan - wat te doen bij een datalek.