19 december 2018 Een datalek? Actie!
GDPR, de Europese regelgeving over de bescherming van persoonsgegevens, wordt ongetwijfeld hét vierletterwoord van het jaar.
Hoewel in het begin zeer lauw onthaald, lijken steeds meer bedrijven (eindelijk) te beseffen dat de bescherming van persoonsgegevens erg belangrijk is: zo werden in de eerste zes maanden, na 25 mei 2018, 317 datalekken gemeld bij de Belgische Gegevensbeschermingsautoriteit – GBA (de vroegere Privacycommissie) ten opzichte van 13 in 2017. Die stijging is het gevolg van een uitgebreide meldingsplicht voor datalekken die door de GDPR werd ingevoerd (en vooral van de sancties die eraan verbonden zijn).
Maar wanneer spreken we nu van een “datalek” of “gegevenslek”? Wel, dat kan gaan om een zeer breed spectrum van gebeurtenissen: een inbraak op de centrale server van uw bedrijf, diefstal of verlies van een laptop, GSM, toegangsbadge, USB-stick, … (indien daarop persoonsgegevens bewaard worden of de gebruiker via die apparaten toegang kan krijgen tot die gegevens), een systeemcrash waardoor gegevens verloren gaan, het versturen van brieven naar verkeerde adressen, het versturen van een e-mail naar talrijke geadresseerden in CC in plaats van BCC, het faillissement van uw cloudservice-provider…
In veel gevallen moet u deze lekken zeer snel melden bij de Gegevensbeschermingsautoriteit en/of aan de betrokken personen: bekijk die melding niet alleen als een opgave, maar zie er ook de voordelen van in.
Enerzijds kan de Gegevensbeschermingsautoriteit u namelijk begeleiden en adviseren over de stappen die u als bedrijf kan/moet zetten om het datalek aan te pakken of naar de toekomst toe te voorkomen.
Anderzijds vermijdt u zo de zware sancties die u riskeert door een datalek niet te melden.
Vraag maar aan Uber, dat in 2016 geconfronteerd werd met een enorm datalek waarbij de gegevens van 57.000.000 klanten en chauffeurs werden gestolen. Uber meende het zaakje even intern af te handelen zonder enige melding aan de autoriteiten in de hoop negatieve publiciteit te voorkomen.
Gevolg? Een boete van 148.000.000 USD (€ +/- 130.000.000) in de USA, een boete van € 600.000 in Nederland en een boete van 385.000 GBP (€ +/- 428.000) in het Verenigd Koninkrijk.
Een gouden raad? Werk een behoorlijk veiligheids- en preventiebeleid uit en zorg dat uw onderneming voorbereid is als er een datalek zou plaatsvinden. Nu alvast een plan van aanpak opstellen kan in de toekomst veel problemen voorkomen.
