Cybersecurity

Help, ik heb een datalek!

  • Tips
  • Redactie KVK
  • Bijgewerkt 14 sep 2020
  • 3 min lezen
  • 984
Er gaat geen week voorbij zonder nieuws over een datalek. Grote en kleine bedrijven: ze raken persoonsgegevens van hun klanten kwijt door slechte beveiliging of kwaadwillende hackers. Hoe kun jij een datalek voorkomen? En wat moet je doen als er klantgegevens zijn gelekt?

Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek kan ontstaan door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In de meeste gevallen gaat het om uitgelekte computerbestanden via een hack of zelfs via eigen medewerkers. Ook een gestolen laptop of klantenlijst kan een datalek vormen.

Oorzaak

Een datalek ontstaat niet zomaar. Data kunnen uitlekken doordat jij zelf onvoorzichtig omgaat met persoonsgegevens, of als een zakenpartner of leverancier jouw klantgegevens onzorgvuldig beheert. Als je ICT-beveiliging niet op orde is kan een hacker jouw klantgegevens stelen. Een lek kan ook ontstaan als je per ongeluk niet goed oplet, waardoor een laptop, USB-stick, wachtwoord of printjes op een onbeveiligde plek belanden.

Tips tegen lekken

Neem de juiste maatregelen om te voorkomen dat persoonsgegevens in verkeerde handen vallen. Daarmee voorkom je een datalek en een eventuele boete. Denk bijvoorbeeld aan de volgende acties:

  1. Bespreek regelmatig (bijvoorbeeld een keer per jaar) met collega’s de verwerking van persoonsgegevens in jouw bedrijf. Verstuur je gegevens op een veilige manier, of gewoon per e-mail?
  2. Zorg dat je goed op de hoogte bent van de wetgeving rond persoonsgegevens: de AVG.
  3. Geef niet zomaar wachtwoorden, klantgegevens en toegang tot je systemen aan derden, zoals aan bijvoorbeeld zzp'ers die voor je bedrijf werken of aan leveranciers.
  4. Gaat een derde partij voor jouw bedrijf persoonsgegevens verwerken? Zorg dan voor een verwerkersovereenkomst. Andersom geldt: ben je zzp'er? Check dan bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. In dat geval moet je een verwerkersovereenkomst afsluiten.
  5. De klanten van wie jij gegevens verzamelt, moeten daarvan op de hoogte zijn. Laat hen weten welke gegevens jij verzamelt en met welk doel. Geef hen ook de gelegenheid om zichzelf uit te schrijven of de verzameling stop te zetten.
  6. Investeer in goede ICT-beveiliging van je laptop, computer, telefoon en mobiele apparaten. Bespreek dit bijvoorbeeld ook een keer per jaar met een cybersecurity-expert.
  7. Werk je veel in de cloud? Versleutel dan de persoonsgegevens die je opslaat en deelt.

Toch een datalek?

Wat als klantgegevens ondanks jouw maatregelen toch op straat belanden? Je bent verplicht het datalek te melden bij de Autoriteit Persoonsgegevens. Je kunt zelfs een boete krijgen als blijkt dat je te weinig maatregelen hebt genomen. Denk je dat er sprake is van een datalek? Doorloop dan de volgende stappen:

1. Check of het gaat om data met persoonsgegevens

Persoonsgegevens zijn data met informatie over een natuurlijke persoon. Dit betekent dat informatie direct over iemand gaat, of naar die persoon te herleiden is. Het gaat dus om iemands naam, adres en woonplaats. Maar ook telefoonnummers, klantnummers, klantprofielen en e-mailadressen zijn persoonsgegevens.

2. Meld het lek bij de Autoriteit Persoonsgegevens

Als er gevoelige persoonsgegevens zijn gelekt, ben je verplicht het binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. Gevoelige gegevens gaan bijvoorbeeld over iemands politieke opvatting, seksuele leven of gezondheid. Datalekken zonder gevoelige persoonsgegevens moet je altijd intern registreren.

3. Meld het lek eventueel aan betrokkenen

Je hoeft een datalek alleen aan betrokken personen te melden als het ernstige gevolgen kan hebben voor hun persoonlijke levenssfeer. Kunnen zij het slachtoffer worden van fysiek letsel, materiele schade of discriminatie door jouw datalek? Dan ben je verplicht het ook aan hen te melden. Vermoed je dat het lek voor betrokkenen niet schadelijk is? Dan hoef je het alleen te melden bij de Autoriteit Persoonsgegevens. Weet je het niet zeker? De Autoriteit Persoonsgegevens geeft hierover meer informatie.

Verwerkt jouw bedrijf persoonsgegevens? Weet wat de regels en verplichtingen volgens de wet AVG zijn.
Redactie KVK

Redactie KVK

De KVK-redactie verzorgt en publiceert inspirerende informatieve artikelen voor ondernemers op KVK.nl, waaronder interviews en how to’s.

InspiratiePage