Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Data breaches 101: alles wat je moet weten om gepast om te gaan met hacking of dataverlies

21.05.2024 Leesduur: 10 minuten

In onze digitale wereld zijn data breaches/datalekken een steeds groter probleem. Cybercrime is de komende jaren dé grootste uitdaging wereldwijd voor onze economie in het algemeen en voor individuele bedrijven en iedereen die persoonsgegevens – of bij uitbreiding andere gevoelige of vertrouwelijke data – verwerkt. Of je nu een groot bedrijf bent of je administratie als kleine zelfstandige in een Excel-sheet bijhoudt, je bent hoe dan ook kwetsbaar. De gevolgen van zo’n datalek kunnen enorm zijn, zowel voor je bedrijf als voor de mensen wiens gegevens op straat komen te liggen. 

Heel wat van onze cliënten kregen jammer genoeg al te maken met datalekken en de ervaring leert ons dat goed voorbereid zijn in zo’n gevallen het verschil maakt tussen een beheerste en gecontroleerde afhandeling van een incident of totale paniek en chaos binnen een bedrijf.  We vonden het handig om nog even alles wat je moet weten over datalekken op een rijtje te zetten.

Wat is een datalek?

Bij data breaches denken we in de eerste plaats aan de grote gemediatiseerde verhalen van grote bedrijven die het slachtoffer worden van een cryptolocker aanval, waarbij alle bedrijfssystemen geblokkeerd worden door een virus en het bedrijf verplicht wordt om hoge bedragen aan losgeld – vaak in de vorm van cryptrocurrencies – te betalen aan onzichtbare cybercriminelen om hun data terug te krijgen. Die incidenten bestaan, en wie het slachtoffer is geweest van zo’n aanval weet dat de impact enorm kan zijn. 
Gelukkig kan je je als bedrijf goed voorbereiden en verzekeren en gelukkig ook houden dit soort cybercriminelen er een wat bevreemdende ethische code op na die ervoor zorgt dat wie betaalt ook effectief zijn of haar data terugkrijgt (en daarbij zelfs vaak hulp krijgt aangeboden om alles opnieuw up and running te krijgen).
Dat is voor de oplichters in kwestie immers de enige garantie dat hun “business model” op lange termijn kan overleven: als bedrijven niet geloven dat het betalen van losgeld effectief leidt tot teruggave van hun data, zullen ze immers steeds minder geneigd zijn om tot betaling over te gaan…

Maar datalekken zijn veel meer dan de spectaculaire ransomware aanvallen waarover je in de krant leest.  Volgens de GDPR is een datalek élk beveiligingsincident waarbij persoonlijke informatie onbedoeld wordt blootgesteld, vernietigd, gestolen of op een andere manier onrechtmatig wordt gebruikt. Het kan gaan om een hack, maar ook om iets simpels als een kwijtgeraakte laptop of een e-mail die naar de verkeerde persoon is gestuurd of zelfs het onbedoeld wissen van gegevens of het verliezen van een back-up.  Al die incidenten zijn data breaches naar de letter van de wet en als bedrijf moet je met élk daarvan correct omgaan.

Wat zijn je plichten als data controller?

De Europese privacyregels (AVG of GDPR) zijn streng: Wie als verantwoordelijke voor de verwerking van persoonsgegevens een datalek vaststelt moet dat in principe binnen 72 uur na de vaststelling ervan melden bij de toezichthoudende autoriteit (in België is dat de Gegevensbeschermingsautoriteit). 

Enkel als er géén risico is voor een schending van de rechten van de betrokkenen, moet je dit alsnog niet aanmelden bij de GBA. Dat kan het geval zijn als er slechts een zeer beperkt aantal mensen betrokken is bij het lek of als het om data gaat die toch al publiek beschikbaar was of nog als het om data gaat die op geen enkele manier door de hackers rechtstreeks aan een bepaald individu gelinkt zou kunnen worden. Dat laatste is zéér moeilijk in te schatten, mede omdat hackers data uit verschillende bronnen en uit verschillende hacks trachten te combineren om zo toch slachtoffers te kunnen identificeren en die data vervolgens te verkopen of te gebruiken in bijvoorbeeld phishing aanvallen naar die betrokkenen toe. 

Als je vaststelt dat er een groot risico is voor de privacy of de integriteit van de betrokken personen, dat moet je een stap verder gaan en dan moet je hen individueel verwittigen van het datalek.  Dat kan bijvoorbeeld het geval zijn als je betaalkaartgegevens of andere gevoelige data bent kwijtgeraakt.  

De reputatieschade die dit voor je bedrijf met zich meebrengt kan enorm zijn en het is dus van groot belang dat je dit soort situaties zo veel mogelijk kan voorkomen door de nodige veiligheid in te bouwen, door data te anonimiseren, door encryptietechnieken toe te passen, etc…   In het “beste” geval overigens moet je iedereen die betrokken is individueel mailen of aanschrijven, maar als dat niet lukt, kan je als bedrijf verplicht zijn om een publieke aankondiging te doen, wat nóg meer desastreuze gevolgen heeft voor jou als bedrijf en voor je merkimago, natuurlijk.

De potjes gedekt houden is echter absoluut geen optie.  Wees dus voorbereid op de situatie waarin je je klanten, prospects, personeelsleden, etc… moet informeren dat je hun gegevens bent kwijtgeraakt en dat er waarschijnlijk een hoog risico voor hen is. Zeg duidelijk wat er is gebeurd, wat de gevolgen kunnen zijn en wat je doet om de schade te beperken. 

Data breach policy of incident respons plan

Wacht niet tot het te laat is.  Tijdens een groot veiligheidsincident binnen je bedrijf is er geen tijd om rustig na te denken wat er precies moet gebeuren, welke communicatie verzonden moet worden, wie dat moet doen, hoe en wanneer dat moet gebeuren, etc…  

Zorg dus dat je voorbereid bent.  In het geval van data breaches doe je dat door intern binnen je bedrijf te zorgen voor een goede “data breach policy” of “incident respons plan”. Zo’n plan is niet enkel van waarde in geval van nood, het is bovendien impliciet een verplichting onder GDPR.  Je bent als bedrijf immers verplicht om alle gepaste maatregelen te nemen, zowel technisch als organisatorisch, om een gepast niveau van dataveiligheid te kunnen garanderen en grondig voorbereid zijn op noodsituaties is daar onlosmakelijk onderdeel van.

Je incident respons plan of data breach policy beschrijft stap voor stap hoe je moet reageren bij een datalek. In de data breach policies die wij bij Sirius Legal opstellen voor onze cliënten voorzien we klassiek de nodige ruimte voor aandachtspunten als:

  • Wat is een datalek?
  • Hoe en aan wie moet een datalek gemeld worden intern?
  • Wie maakt er deel uit van het “incident response team”?
  • Op basis van welke criteria wordt de ernst en omvang van een incident bepaald?
  • Welke potentiële scenario’s kunnen we vooraf definiëren en wat is het stappenplan bij elk van die scenario’s?
  • Wie is voor elk potentieel scenario verantwoordelijk voor technische noodinterventies, voor het naleven van de meldplicht, voor interne en externe crisiscommunicatie, voor contact met betrokken verwerkers en andere partners, … 

Incidentregister

Een “incidentregister” is een onmisbaar onderdeel van elke data breach policy.  Het is niet meer dan een spreadsheet die een overzicht creëert van incidenten in je bedrijf, datum waarop ze zich voorgedaan hebben, wat het gevolg was, welke stappen ondernomen zijn, wie erbij betrokken was, etc… 

Met zo’n incidentregister documenteer je élk incident, hoe klein ook. Zo houd je een duidelijk overzicht van alle datalekken en leer je van je fouten om toekomstige incidenten te voorkomen.  Het is bovendien een groot hulpmiddel om na afloop van incidenten terug te traceren waar potentieel de oorzaak van bijvoorbeeld een hacking lag.

Je incidentregister is bovendien een belangrijk “bewijsmiddel” onder GDPR.  GDPR legt je als bedrijf immers een “verantwoordingsplicht” op, die inhoudt dat je je volledige interne GDPR compliance moet kunnen aantonen en verantwoorden. 

Preventie

Een data breach policy of incident responsplan voor het geval het fout gaat is één zaak.  Maar voorbereid zijn op datalekken is veel meer dan dat.  We geven enkele tips mee:

  • Investeer in dataveiligheid en voorkom zo datalekken.  We zeiden het al: GDPR verplicht je om altijd en overal een gepast niveau van technische en organisatorische veiligheid in te bouwen.  Investeer in een goede GDPR compliance en/of cybersecurity audit van je bedrijf en bouw op basis van de resultaten daarvan aan een sterk dataveiligheidsbeleid binnen je bedrijf.
  • Beveilig je systemen: Gebruik sterke wachtwoorden, firewalls en encryptie.
  • Train je personeel: Maak je medewerkers bewust van de gevaren van datalekken en leer ze hoe ze veilig met data omgaan.
  • Maak back-ups: Zorg dat je altijd een back-up hebt van je data, zodat je die kunt herstellen in geval van een datalek
  • Zorg voor goede verwerkersovereenkomsten!  Heel wat datalekken vinden hun oorsprong niet binnen je bedrijf zelf, maar bij derde verwerkers waar je als bedrijf een beroep op doet en aan wie je data hebt toevertrouwd, hosting providers, web agencies, sociale secretariaten, je boekhouder, … allemaal verwerken ze jouw gegevens extern en elk van hen is een potentieel doelwit voor hackers.  Gaat het bij hen fout, dan blijf jij toch aansprakelijk als “verantwoordelijke voor de verwerking”.  Zorg dus voor zéér goede contractuele afspraken met je verwerkers in gepaste verwerkersovereenkomsten of “data processing agreements” (DPA’s)

Door proactief te zijn, verklein je de kans op een datalek aanzienlijk. En als er toch iets misgaat, ben je dankzij een goed plan en register klaar om de schade te beperken.

En als het toch fout gaat?

Als je toch het slachtoffer wordt van een cyberaanval of van een andere oorzaak van dataverlies, is snelheid cruciaal. We legden al uit wat de meerwaarde is van een data breach policy of incident respons plan als het zo ver komt.  Precies dat document zal je helpen om de juiste stappen te doorlopen, de juiste personen in te schakelen en de juiste beslissingen te nemen.  

In elk geval, en ongeacht of je zo’n noodprocedure voorzien hebt of niet, zal je bij een datalek aan het volgende moeten denken:

 

1. Het lek dichten

Onderneem onmiddellijk actie om verdere schade te voorkomen. Dat kan betekenen dat je systemen offline moet halen, wachtwoorden moet aanpassen of experts moet inschakelen.

2. Analyseer de situatie

Grip krijgen op een situatie lukt pas als je een goed beeld hebt van de situatie.  Zorg dus voor een grondige (maar snelle) analyse:

  • Wat voor soort gegevens zijn gelekt?
  • Om hoeveel personen gaat het?
  • Hoe ernstig is het lek?
  • Wat zijn de mogelijke gevolgen voor de betrokkenen?

3. Impact assessment en meldplicht

Vervolgens is de vraag hoe ernstig het incident is en of een aanmelding bij de GBA en/of een individuele contactname met de betrokkenen nodig is.  

Gebruik hiervoor idealerwijze de EDPB-richtlijnen om te beoordelen of het lek een “hoog risico” oplevert voor de betrokkenen. Kijk naar factoren zoals:

  • Type datalek: Was het een hack of een menselijke fout?
  • Gevoeligheid van de data: Ging het om medische of financiële informatie?
  • Identificatie van betrokkenen: Hoe makkelijk zijn de mensen te identificeren?
  • Mogelijke schade: Is er kans op identiteitsdiefstal, financiële schade of reputatieschade?
  • Specifieke gevoeligheden bij de betrokkenen: Waren er kwetsbare personen in de groep, zoals kinderen of ouderen?

Is er op basis van de EDPB-richtlijnen waarschijnlijk een hoog risico voor de betrokkenen? Dan moet je het lek melden bij de Gegevensbeschermingsautoriteit én de betrokkenen informeren. Is er geen hoog risico? Dan hoef je geen melding te doen, maar je moet wel stappen ondernemen om de schade te beperken.

4. Learn and improve

Is het incident afgehandeld?  Maak dan tijd voor een grondige debriefing en evaluatie. Kijk wat er precies fout liep voorafgaand aan het incident en analyseer ook hoe het incident afgehandeld werd.  Zoek naar verbeterpunten en zet een verbetertraject uit om in de toekomst nog beter gewapend te zijn tegen gelijkaardige incidenten.

Neem je verantwoordelijkheid (en zoek hulp)

Een datalek is een flinke dreun voor je reputatie en je kop in het zand steken is in zo’n geval géén optie.  De impact op lange termijn als het datalek toch aan het licht komt, is immers vele malen groter…

Wees dus goed voorbereid, reageer professioneel, snel en efficiënt én informeer betrokkenen duidelijk over de situatie. Laat zien dat je het probleem serieus neemt en dat je maatregelen neemt om herhaling te voorkomen.

Zorg bij datalekken ook voor de nodige externe hulp.  Schakel je DPO in, schakel technische partners op tijd in en zorg onmiddellijk (van bij aanvang!) voor juridische ondersteuning door een ervaren jurist of advocaat in data protection, zodat je de juiste beslissingen maakt op het juiste moment en maximaal je eigen aansprakelijkheid voorkomt of inperkt.

Zorg overigens ook voor een goede cyberverzekering.  Daarmee ben je in de meeste gevallen niet enkel verzekerd tegen de financiële gevolgen van een data breach, maar heel wat verzekeraars stellen precies ook de professionele hulp ter beschikking die je nodig hebt in crisissituaties.  Bij Sirius Legal bijvoorbeeld zijn we wat dat betreft een vaste juridische partner voor een aantal cyberverzekeraars.

Vragen over data breaches of hulp nodig bij een datalek of bij GDPR compliance? 

Boek een vrijblijvend kennismakingsgesprek in via de link naast dit artikel.  We maken graag tijd voor een babbel. Check in afwachting ook onze webshop, waar je bijvoorbeeld onze “Eerste hulp bij datalekken” service terugvindt.

Maak een vrijblijvende eerste afspraak

Sirius shop

Interessant voor jou in onze webshop

  • Eerste hulp bij een datalek
  • Crisisoverleg via videocall

Snelle en professionele on the spot eerste hulp bij datalekken door échte specialisten met jarenlange ervaring.

meer
  • Data Breach Notification Policy
  • Incidentenregister
  • Adviesgesprek via videocall

Een datalek. Hoe snel kan jij schakelen als het je morgen overkomt? Een databreach notification policy op maat is geen overbodige luxe!  

meer
  • Onmiddellijke beschikbaarheid
  • Pragmatisch EHBO advies
  • Jarenlange ervaring in cyber security

Je bent gehackt? Wat nu? Laat je bijstaan door échte specialisten met jarenlange ervaring in cyber security en gegevensbescherming.

meer