Dit is wat je moet doen bij een datalek
De GDPR is alweer een tijdje actief in Nederland. Toch heerst er nog altijd veel verwarring over het hoe en wat achter deze regelgeving. Zo weten veel mkb’ers niet goed wat ze moeten doen als ze te maken krijgen met een datalek. Door de volgende stappen ga je daar op een adequate manier mee om.
1. Analyseer wat er is gebeurd
De eerste stap is het in kaart brengen van het datalek en de omvang ervan. Controleer welke gegevens er precies zijn gelekt en wie er op dat moment toegang tot had. Die informatie heb je nodig in de vervolgstappen.
2. Beperk de schade
Bekijk of je meteen maatregelen kunt nemen om de schade als gevolg van het datalek te beperken. Zo ja, zorg er dan voor dat deze maatregelen direct worden genomen. Probeer in deze stap tevens in kaart te brengen wat de mogelijke risico’s van het datalek zouden kunnen zijn.
3. Bepaal of er een melding van het datalek moet worden gemaakt
In de meeste gevallen moeten datalekken binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP). Er zijn echter ook uitzonderingen. Deze zijn terug te vinden op de website van de AP.
4. Informeer de betrokken personen
Bij een lek van persoonsgegevens is het belangrijk dat betrokken personen daarvan op de hoogte worden gesteld. Ook hier geldt dat dit niet in alle gevallen verplicht is. Is er een verhoogd risico op de rechten en vrijheden van personen, dan moet er sowieso een melding van het lek worden gemaakt.
5. Registreer het datalek
Het datalek moet ook in je eigen register worden vermeld, ook wanneer je geen melding maakt bij de AP. Dit is een wettelijke verplichting.
Update je security
Heeft het datalek te maken met een technisch gebrek binnen je zakelijke security? Dan is het wellicht tijd voor een update. Houd je huidige security eens tegen het licht en kijk waar deze kan worden versterkt. Het is verstandig om hierover specialistisch advies in te winnen. Zo ga je direct meteen goed op weg.