Een Procedure voor Datalekken

Datalekken. Sinds de inwerkingtreding van de GDPR een woord dat te pas en te onpas valt. Eén ding is zeker, iedereen wil het vermijden. Hoe goed je je GDPR-implementatieplan ook uitrolt, er valt echter niet aan te ontkomen. In plaats van een datalek te proberen vermijden, bereid je je er maar beter zo goed mogelijk op voor. Wacht dus niet tot je er mee geconfronteerd wordt, maar denk op voorhand na hoe ermee om te gaan als er effectief een datalek plaatsvindt. 

Op het moment dat je een datalek vaststelt (en dus niet bij kennisname van een mogelijk datalek), moet je binnen de 72u een melding maken van het datalek bij de bevoegde toezichthoudende autoriteit. In Vlaanderen zijn er twee bevoegde toezichthoudende autoriteiten, met name de federale Gegevensbeschermingsautoriteit en de Vlaamse Toezichtcommissie. Deze laatste instantie is enkel bevoegd voor Vlaamse instanties. Je dient dus eerst uit te zoeken aan welke toezichthoudende autoriteit je moet melden. Je kan hierbij gebruik maken van de beslissingsboom die uitgewerkt werd door de Vlaamse Toezichtcommissie.

72u om een vastgesteld datalek te melden is kort en vraagt dan ook de nodige voorbereiding. Je wilt niet op het moment dat een datalek voorvalt nog moeten nadenken over wat je nu precies allemaal moet doen. Op dat moment moet je je energie immers steken in het oplossen en melden van het datalek. Het op voorhand uitwerken en toepassen van een procedure datalekken is dan ook zinvol zodat je op het moment dat een datalek zich voordoet organsiatorisch alles op punt hebt: de noodzakelijke personen om te betrekken, informatie die verzameld moet worden,  meldingen om te doen, en dergelijke meer. 

Via deze link vind je een eenvoudig stroomschema incl. toelichting voor een procedure datalekken. De inhoud is hieronder eveneens kort samengevat:

  1. Melding inbreuk 
    • Zorg ervoor dat medewerkers weten wat een inbreuk is, zodat ze dit kunnen detecteren en melden
    • Zorg ervoor dat medewerkers en verwerkers weten hoe en waar ze een mogelijke inbreuk moeten melden.  
  2. Doorlichting inbreuk – Betreft het inderdaad een inbreuk? 
  3. Licht DPO in (optioneel: betrekken Incident Response Team)
    • DPO en directie inlichten
    • Inbreuk verder onderzoeken en bepalen wat de ernst, het risiconiveau, … is
  4. Melding aan bevoegde toezichthoudende autoriteit
  5. Vraag de bevoegde toezichthoudende autoriteit om advies rond betrokkene
    • Bij twijfel over de noodzakelijkheid van een melding aan betrokkene kan het advies gevraagd worden van de bevoegde toezichthoudende autoriteit
  6. Melding aan betrokkene
    • Wanneer blijkt dat de betrokkenen ingelicht moeten worden over de inbreuk moet er nagedacht worden over de manier waarop er gecommuniceerd zal worden
  7. Optioneel: intern onderzoek
    • Audit of neutraal onderzoek organiseren om de oorzaak van de inbreuk en de afhandeling er van te evalueren
  8. Slotbespreking – evaluatievergadering organiseren
  9. Formuleren van verbetermaatregelen
    • Denk na over mogelijke maatregelen die genomen kunnen worden zodat gelijkaardige inbreuken in de toekomst kunnen voorkomen worden   
  10. Sluit inbreuk af

Deze post is geschreven door Ellen Demey, data protection consultant bij White Wire.