Protocol datalekken bewijst zich!

Datalekken?

Niet ieder beveiligingsincident is een datalek. De term ‘datalek’ is van toepassing op elke inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

De mate waarin de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen speelt een belangrijke rol. Bij een datalek kan dus in verschillende mate sprake zijn van risico’s. Alleen die datalekken waarbij sprake is van een waarschijnlijk risico dienen in ieder geval gemeld te worden bij de Autoriteit Persoonsgegevens (AP). Bij een hoog risico, dient dit eveneens gemeld te worden aan de betrokkene(n).

Datalekken kunnen altijd en bij iedereen optreden

Zo ook bij KWD, waar een collega slachtoffer is geworden van diefstal van zijn KWD-laptop. Dit is niet alleen persoonlijk en voor KWD zeer vervelend, maar mogelijk ook voor de privacy van onze opdrachtgevers. Immers, KWD voert opdrachten uit voor veel organisaties en onze projectmanagers werken met de informatie op de werkplekken van de opdrachtgevers. Indien de opdrachtgever dit toestaat of erom vraagt, kan dit met behulp van de zakelijke laptop van KWD zijn. Als dan zo’n laptop ontvreemd wordt, dan wordt dat direct opgepakt als een uiterst serieus incident.

Los van alle interne informatiestromen die dan gecoördineerd op gang komen, is het van belang om te onderzoeken of er sprake is van een incident of van een datalek. In dit geval was er sprake van een datalek; de dief kan mogelijk ongeoorloofde toegang krijgen tot vertrouwelijke gegevens.

Een datalek: wat dan?

Allereerst wordt bepaald wat de omvang is van het datalek om zo ook een inschatting te kunnen maken welke impact dit kan hebben op betrokkene(n) en of het gemeld moet worden bij de Autoriteit Persoonsgegevens.

Het bepalen van de omvang is gedaan door te analyseren:

• Wat in detail de aard van het datalek is
• Op welk type persoonsgegevens het datalek betrekking heeft
• Welk type betrokkenen door dit datalek geraakt worden
• Hoeveel betrokkenen (mogelijk) nadelige gevolgen ondervinden van het datalek
• Wat de mogelijke gevolgen voor de individueel betrokkenen zijn
• Of de data op het moment van lekken versleuteld was
• Welke technische en organisatorische maatregelen er genomen zijn om negatieve gevolgen te beperken

Aan de hand van de checklist van de Autoriteit Persoonsgegevens is vervolgens vastgesteld of dit datalek gemeld moest worden of niet. Zie ook de voorbeeldlijst van de Autoriteit Persoonsgegevens.

In dit geval heeft KWD ervoor gekozen om het wel te melden en wel om de volgende redenen. KWD heeft onderzoek gedaan naar het beveiligingsincident en geconcludeerd dat er WEL sprake is van een datalek en dat melding bij Autoriteit Persoonsgegevens WEL noodzakelijk is. Deze afweging is uiteraard inhoudelijk onderbouwd, maar de voornaamste redenen zijn:

• Er zijn bijzondere gegevens op de laptop aanwezig, zoals kopieën van identiteitsbewijzen van de medewerker en diens gezinsleden
• Er zijn een beperkt aantal financiële gegevens van betrokkenen op de laptop aanwezig

Eén van deze redenen is al voldoende voor een melding bij de Autoriteit Persoonsgegevens.

KWD concludeert dat er GEEN melding gedaan hoeft te worden aan betrokkene(n). De redenen zijn:

• De bestaande technische beschermingsmaatregelen zijn voldoende om een waarschijnlijk hoog risico voor de rechten en vrijheden van de betrokkenen te voorkomen
• Achteraf zijn maatregelen getroffen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet (meer) zullen voordoen

Indien één van deze redenen voldoende is onderbouwd dan is een melding aan betrokkene(n) niet nodig.

Ná de melding door KWD bij de Autoriteit Persoonsgegevens (AP) is er een ontvangstbevestiging ontvangen, er is geen vervolgonderzoek ingesteld door de AP. De medewerker van KWD heeft snel over een nieuwe laptop kunnen beschikken met daarop een back-up van de data.

Wat heeft ons dit geleerd?

Dit voorval heeft KWD geleerd dat een datalek in ieder goed georganiseerd bedrijf kan voorkomen. Uiteraard wisten we dit, maar het is toch schrikken als het dan daadwerkelijk gebeurt. Deze gebeurtenis heeft ons een aantal leerpunten bezorgd.

Positieve leerpunten zijn dat wij onze data en die van onze klanten bijzonder goed hebben beveiligd en dat, ondanks het verlies van een laptop, de veiligheid van onze gegevens maximaal gewaarborgd kan worden. Nagenoeg alle data staat in beveiligde Cloud omgevingen en onze laptops zijn sterk beveiligd. Daarnaast is het ook goed om ‘real life’ te ondervinden dat onze privacy procedures werken en dat er snel opgetreden kan worden.

Verbeterpunten zijn, dat een geschetst voorval toch laat zien dat medewerkers wel eens privé documenten op hun laptop hebben staan. Denk aan een kopie van een ID-bewijs dat een keer aan een klant gestuurd moest worden. Dit geeft aan dat de AVG-bewustwording een continu proces is.

Hulp nodig voor jouw AVG vraagstuk?

Heb je vragen over hoe we jouw data binnen KWD hebben verwerkt? Neem dan contact op met de KWD Privacy en Security Officer via e-mail: privacy@kwdrm.nl

Onze projectmanagers hebben ruime ervaring met de implementatie van de AVG binnen diverse branches. Wil je hier eens met ons van gedachten over wisselen, neem dan contact met ons op.