050 711 95 19HelpcentrumInloggen
Boek een demoGratis proberen

Beveiligingsincidenten

Protocol bij datalekken

Wet- en regelgeving

Sinds 1 januari 2016 moeten gegevensverwerkers datalekken melden bij de Autoriteit Persoonsgegevens. Bij nalaten riskeren zij een boete. Een datalek kan bijvoorbeeld optreden bij diefstal van servers met persoonsgegevens, verlies van een smartphone met klantinformatie, of andere gevallen waarbij gegevens mogelijk verloren zijn gegaan. De meldplicht geldt alleen voor persoonsgegevens en ligt bij de verantwoordelijke van Afosto. Afosto kan het verwerken van gegevens uitbesteden aan derden zoals uitgevers of distributeurs, die dan als verwerkers optreden. Afspraken over datalekken moeten in een verwerkersovereenkomst worden vastgelegd.

Als er een datalek is, moet daar binnen 72 uur na ontdekking van het lek melding van worden gedaan bij de Autoriteit Persoonsgegevens.

Up to date

Voor een correct databeveiligingsprotocol zorgt Afosto voor een actueel informatiebeveiligings- en privacybeleid. Afosto evalueert dit beleid regelmatig en past het aan wanneer nodig.

Zeven stappen

Stap 1:

De ontdekker signaleert een beveiligingsincident of datalek, zelf of via een derde. Bij twijfel kan overlegd worden met een van de bestuursfunctionarissen (Peter Bakker, Ton Koop of Sander Kah). De ontdekker verzamelt zoveel mogelijk informatie en meldt het incident bij de Functionaris Gegevensbescherming, Ton Koop (ton@afosto.com).


Stap 2:

Het meldpunt beoordeelt of er voldoende informatie over het beveiligingsincident beschikbaar is. Zo niet, dan vraagt het meldpunt om aanvullende informatie bij de ontdekker of technicus Peter Bakker (peter@afosto.com). In het incidentenregister wordt het volgende vastgelegd:

  • Samenvatting van het incident
  • Wat er met de gegevens is gebeurd
  • Soort gegevens (bijzonder of gevoelig)
  • Datum/periode van het incident
  • Aard van het incident
  • Omschrijving van de betrokken partners
  • Aantal betrokkenen
  • Type persoonsgegevens
  • Of de gegevens binnen een keten worden gedeeld

Stap 3:

Wanneer het meldpunt voldoende informatie heeft verzameld, vraagt het de melder om deze te beoordelen. De melder bepaalt of een melding aan de Autoriteit Persoonsgegevens en/of betrokkenen nodig is.

De melder legt het volgende vast:

  • Mogelijke gevolgen voor de persoonlijke levenssfeer van de betrokkenen
  • Of het datalek aan de Autoriteit Persoonsgegevens wordt gemeld en waarom niet
  • Of het datalek aan betrokkenen / partners wordt gemeld en waarom niet
  • Hoe de meldingen worden gedaan en wat de inhoud daarvan is

Stap 4:

De developers van Afosto achterhalen de oorzaak van het beveiligingsincident en lossen het op. Zij leggen het volgende vast:

  • Technische en organisatorische maatregelen om de inbreuk te verhelpen en toekomstige inbreuken te voorkomen, voor zover de oorzaak bekend is.
  • Of de gelekte gegevens onbegrijpelijk zijn voor onbevoegden, of de gegevens gepseudonimiseerd zijn, en hoe de gegevens zijn versleuteld.

Stap 5:

Als bij stap 3 blijkt dat een melding bij de Autoriteit Persoonsgegevens (en eventueel betrokkenen) nodig is, doet de melder dit binnen 72 uur. De melding bevat alle verzamelde informatie en de genomen technische en organisatorische maatregelen. Het lek wordt gemeld bij de Autoriteit Persoonsgegevens.

Stap 6:

Het meldpunt is verantwoordelijk voor de juiste afwikkeling van alle verworven informatie en documentatie over het incident.

Stap 7:

Heeft het datalek ongunstige gevolgen voor de gebruiker? Dan moet het datalek ook aan de gebruikers zelf worden gemeld. Dit zijn medewerkers en klanten. In principe moet het lekken van gevoelige informatie altijd aan de betrokkenen worden gemeld. Let op: als persoonsgegevens zijn gelekt maar deze zijn beveiligd of versleuteld en daardoor onbegrijpelijk of ontoegankelijk voor anderen, dan hoeft dit niet aan de betrokkenen te worden gemeld. Bijvoorbeeld bij het lekken van een beveiligde en versleutelde database met gebruikersnamen en wachtwoorden.

Afhandeling en communicatie

Bij een ernstig datalek met gevolgen voor gebruikers moeten zij geïnformeerd worden. Vaak volgt persberichtgeving snel. Om dit te beheren:

  • Stel een woordvoerder aan: Een centraal persoon, bijvoorbeeld uit het managementteam, beheert de communicatie met betrokkenen en pers.
  • Wees open: Verwacht niet dat informatie binnen blijft. Wees transparant en deel informatie via de website of andere kanalen.
  • Informeer snel: Update regelmatig om speculaties te voorkomen. Meld ook als er geen nieuwe informatie is.

Signalen van derden over een mogelijk datalek kunnen divers zijn. Zorg voor een snelle reactie om gevolgen te beperken.

  • In kaart brengen: Onderzoek of er sprake is van een datalek, de omvang en of er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt.
  • Onderzoek: Behandel het mogelijke datalek volgens de eerder beschreven procedures.
  • Informeren: Informeer de Autoriteit Persoonsgegevens indien meldplichtig. Afhankelijk van de ernst, informeer ook betrokkenen en derden over het datalek, welke gegevens betrokken zijn en de gevolgen.

Partners

bol.com

Is het issue gerelateerd aan de geautomatiseerde koppeling tussen Afosto en bol.com dan wordt het issue altijd gemeld aan bol.com via it-security@bol.com