6 april 2016

Do’s en don’ts bij datalekken

Webinar "Datalek.. Hoe voorkom je hoge boetes?"

Je zit rustig achter je computer en ontvangt opeens een e-mail van je eigen webshop. Als je beter kijkt, zie je dat het om een phishing-mail gaat met de look & feel van jouw webshop. Fraudeurs proberen onder jouw naam de persoonsgegevens van jouw klanten te achterhalen. Kortom: er is sprake van een datalek. Wat nu?

Wat is een datalek?

Tijdens de Thuiswinkel Webinar “Datalek.. Hoe voorkom je hoge boetes?” afgelopen 5 april vertelden Elaine Oldhoff (Thuiswinkel.org) en Peter Kager (ICTRecht) over de do’s en don'ts bij datalekken. Maar wat is een datalek eigenlijk? Een datalek draait om een beveiligingsincident waarbij sprake is van een inbreuk op persoonsgegevens, bijvoorbeeld gegevens van je klanten, je eigen medewerkers of je leveranciers. Bij een datalek moet je denken aan het letterlijke 'lekken' (ofwel: verliezen) van gegevens, maar ook aan onrechtmatige toegang door hackers of het wijzigen of vernietigen van persoonsgegevens, bijvoorbeeld door het kwijtraken van een USB-stick of het in de brand vliegen van je datacentrum.

Ernstige nadelige gevolgen

Zodra er sprake is van een datalek moet de verantwoordelijke dit melden bij de toezichthouder. De verantwoordelijke is degene die gaat over de verwerking van de persoonsgegevens en dus bepaalt wat er met die gegevens gebeurt. De melder is dus niet per definitie de veroorzaker van het datalek.

De verantwoordelijke moet een melding maken van het datalek als er ernstige nadelige gevolgen of een aanzienlijke kans op nadelige gevolgen aan het lek kleven. Denk hierbij aan het aantasten van iemands eer en goede naam zoals bij Ashley Madison: de gegevens van deze leden kwamen op straat te liggen, waardoor de hele wereld kon zien wie er op zoek waren naar een tweede liefde.

Voorkom boetes: “Bij twijfel zeker melden”

Aan het einde van de webinar vroeg kijker Vera terecht: “Wat nou als je twijfelt of het datalek ernstige nadelige gevolgen heeft? Moet je het dan toch maar melden, onder het mom ‘baat het niet dan schaadt het niet’?” Elaine raadt aan om het dan toch te melden: “Bij twijfel zeker melden! Naast dat je het wettelijk verplicht bent, riskeer je anders namelijk ook een boete. Het datalek op zich levert, zonder opzet of grove nalatigheid, niet zomaar een boete op, maar het niet melden van het datalek kan wel een boete tussen de 120.000 en 500.000 euro opleveren.”

Tips tegen datalekken

Om een datalek zo goed mogelijk de baas te zijn, geven Peter en Elaine de volgende tips:

  1. Zorg voor een intern beleid over datalekken. Wie meldt bijvoorbeeld een datalek?
  2. Werk het beleid uit tot concrete procedures en toets de uitvoering.
  3. Maak duidelijke afspraken met leveranciers.
  4. Blijf de overeenkomsten m.b.t. datalekken updaten.
  5. Audit jezelf: passen de maatregelen nog bij jouw organisatie?

Kijk de webinar gratis terug

Benieuwd wat Elaine en Peter precies hebben gezegd over datalekken en wat ze jou als webshopeigenaar nog meer aanraden? Wat moet je bijvoorbeeld melden aan de betrokkenen, dus degenen wiens gegevens zijn gelekt? Kijk de webinar terug en je leert het binnen een uur. Als lid van Thuiswinkel.org kun je de Thuiswinkel Webinar terugkijken via MijnAccount. Nog geen lid van Thuiswinkel.org? Word lid en profiteer naast het terugkijken van de Thuiswinkel Webinars nog van vele andere voordelen.

Geef uw mening