Een (mogelijk) datalek, welke stappen moet ik nemen? | KPMG | NL

Een (mogelijk) datalek, welke stappen moet ik nemen?

Een (mogelijk) datalek, welke stappen moet ik nemen?

Stel, u wordt geconfronteerd met het feit dat er mogelijk gevoelige bedrijfs- en persoonlijke informatie voor onbevoegde derden beschikbaar is (geweest). Op zo’n moment gaan de alarmbellen af en start een periode van gecoördineerde hectiek. De 72 uur om het datalek te melden bij de Autoriteit Persoonsgegevens loopt, maar bovenal wilt u weten wat er aan de hand is en aan welke operationele, compliance- en reputatierisico’s uw organisatie mogelijk blootstaat. In deze blog nemen wij u stap voor stap mee in de initiële aanpak van een dergelijk incident.

1000

Auteurs

Gerelateerde content

Stap 1: Inventariseer & beperk

Op het moment dat een (mogelijk) datalek u ter ore komt, is het belangrijk om inzicht te krijgen in de aard en omvang van het incident. Vragen die in deze fase centraal staan zijn: wat is de aard van de gegevens waarop inbreuk is gemaakt, is er sprake van verlies of onrechtmatige verwerking van deze gegevens en kunnen de primaire bedrijfsprocessen normaal doorgang vinden?

In veel gevallen is het raadzaam om bij een online datalek meteen technische en procedurele maatregelen te treffen om het huidige lek zo snel mogelijk te stoppen. Dit kan betekenen dat uw internetkoppelingen en digitale dienstverlening moeten worden stilgelegd (ook al blijkt dit wellicht achteraf een te zwaar middel te zijn geweest).
Neem in deze inventarisatiefase tevens mee welke mogelijkheden er zijn voor verder onderzoek. Denk hierbij aan het veiligstellen van specifieke logbestanden of systemen voor verder onderzoek.

Een belangrijk juridisch aspect is of u de verantwoordelijke of ‘slechts’ de bewerker van de data bent. In de bewerkersovereenkomst is vaak vastgelegd dat de bewerker een bepaalde tijd heeft om het datalek bij de verantwoordelijke te melden. De tijd die de bewerker nodig heeft om onderzoek te doen en het lek te melden bij de verantwoordelijke wordt ook van de 72 uur afgetrokken die de verantwoordelijke heeft om het lek bij de Autoriteit Persoonsgegevens te melden.

De korte responstijd vraagt bij een dergelijk incident tot snelle actie. Het is daarom van belang dat op voorhand een incident response plan en crisisplan gedefinieerd zijn en dat deze plannen worden gevolgd (zodat relevante personen en procedures niet ten tijde van het datalek geïdentificeerd hoeven te worden). Zorg er ook zo snel mogelijk voor dat technische en juridische expertise (intern of extern) beschikbaar zijn om met spoed ondersteuning te leveren indien nodig.

Stap 2: Consulteer & onderzoek

Nadat u de eerste acties heeft uitgezet is het zaak om met uw in- en externe cyber- en forensisch specialisten, juristen en verzekeringsadviseur in gesprek te gaan. Welke impact heeft het datalek, wat zijn de benodigde juridische en onderzoek-stappen en wat zijn de langetermijnoplossingen om herhaling te voorkomen?

Zorg er vervolgens voor dat u, voor zover mogelijk, de details van het lek onderzoekt. Is het bijvoorbeeld mogelijk om op basis van de beschikbare sporen vast te stellen welke gegevens naar welke partijen zijn gelekt en door wie? Voer om symptoombestrijding te voorkomen een ‘root cause’-analyse uit om de oorzaak van het incident vast te stellen.
Ook als blijkt dat zaken maar beperkt aangetoond kunnen worden, wilt u hiervan op de hoogte zijn. Dit vormt namelijk belangrijke input voor juridische en communicatieve vervolgstappen en ook voor de bepaling van technische organisatorische maatregelen ter voorkoming van soortgelijke incidenten in de toekomst.

Stap 3: Communiceer

Zorg dat in uw incident response plan procedureel vastgelegd is wanneer en door wie de melding aan de Autoriteit Persoonsgegevens is gedaan. Er geldt een meldingsplicht wanneer het datalek gevoelige persoonsgegevens betreft of tot nadelige gevolgen voor de betrokkenen kan leiden. Afhankelijk van de ernst van de zaak en de gevolgen voor de betrokkenen dient ook melding aan de betrokkenen zelf plaats te vinden. Consulteer uw privacyadviseur indien u van uw incident response plan afwijkt.

Daarnaast is het van belang om te bepalen of bredere communicatie wenselijk is, denk bijvoorbeeld aan een persbericht. Dit kan helpen om zelf de regie te houden over het beeld dat de buitenwereld van uw organisatie en het onderhavige incident heeft.

Stap 4: Verbeter & leer

Wanneer de eerste maatregelen ter beperking van het incident met succes zijn genomen, en het incident is onderzocht, is het tijd om de focus op de lange termijn te leggen.
Denk na over aanvullende technische maatregelen zoals monitoring of verscherpte toegangsbeveiliging om herhaling te voorkomen. Denk ook na over aanvullende organisatorische maatregelen zoals gedragsprogramma’s, trainingen en aangepaste procedures om bewustwording van medewerkers naar een hoger niveau te tillen.
Ten slotte, gebruik het incident ook om de werking van het incident response plan te toetsen en waar nodig aan te scherpen.

Hierboven is één van de scenario’s geschetst betreffende de wijze waarop onze ‘cyber response’-specialisten op dagelijkse basis klanten bijstaan in het samenspel met verzekeraars, advocaten en toezichthouders, met als doel de organisatie zo spoedig mogelijk van crisis terug naar ‘business as usual’ te begeleiden. Hierbij helpen zij klanten zowel om de organisatie zo optimaal mogelijk voor te bereiden op het moment dat de alarmbellen afgaan, als gedurende het moment van de alarmbellen zelf.

Forensic & Integrity

Forensic & Integrity

Forensic & Integrity onderzoekt fraude, corruptie en lost vraagstukken op over veranderingen, verbeteringen waarin organisatiecultuur centraal staat.

Cyber Security services

Cyber Security services

Cybersecurity is meer dan reactief technische problemen oplossen.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig