Een verkeerd geadresseerde e-mail met klantgegevens, een gehackt account, een verloren laptop, dat is een datalek. Bij risico voor betrokkenen heb je 72 uur om het te melden. Dit is je stappenplan.

Wat is een datalek?

Een datalek is elke inbreuk op de beveiliging die leidt tot verlies, onrechtmatige toegang, vernietiging of wijziging van persoonsgegevens. Het hoeft dus niet om een hacker te gaan: een per ongeluk verstuurde mailing met alle adressen in de cc is óók een datalek.

Stap 1, direct indammen (uur 0,2)

  • Stop de bron: trek toegang in, reset wachtwoorden, haal het lek offline.
  • Probeer verloren gegevens terug te halen of op afstand te wissen.
  • Leg vast wat er is gebeurd, wanneer je het ontdekte en wat je deed.

Stap 2, risico inschatten

Bepaal of het lek waarschijnlijk risico oplevert voor de betrokkenen. Weeg mee: om welke gegevens gaat het (gewone of gevoelige?), hoeveel mensen, en wat kan er misgaan (identiteitsfraude, financiële schade)?

Stap 3, melden bij de Autoriteit Persoonsgegevens

Is er risico, dan meld je het lek binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens via hun meldloket. Lukt het niet om binnen die tijd alles compleet te hebben, meld dan vast wat je weet en vul later aan. Alleen bij een lek met waarschijnlijk gering risico hoef je niet te melden, maar je legt dat afwegingsbesluit wél vast.

Stap 4, betrokkenen informeren

Is er een hoog risico voor de betrokkenen, dan informeer je ook hén, in duidelijke taal, met wat er is gebeurd en wat zij kunnen doen (bijvoorbeeld wachtwoord wijzigen, alert op phishing).

Stap 5, registreren en leren

Houd een intern datalekregister bij van álle lekken, ook de niet-gemelde. Analyseer wat misging en pas je beveiliging aan. Heeft een verwerker het lek veroorzaakt? Dan moet die je onverwijld informeren, leg die plicht vast in de verwerkersovereenkomst. Beschrijf je beveiligings- en meldproces ook kort in je privacyverklaring.