De guidelines helpen organisaties bij de maatregelen die ze moeten nemen bij een datalek.
In de guidelines staat een lijst met veel voorkomende soorten datalekken, bijvoorbeeld ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen en welke maatregelen de organisatie na het incident moet nemen.
Per type datalek
Zo is per type datalek aangegeven hoe organisaties de risico’s van een bepaald type datalek het best kunnen beoordelen. Verder staat er wanneer een organisatie de toezichthouder op de hoogte moet brengen en wanneer de betrokken personen.
Verplichtingen
Daarnaast benadrukt de EDPB in de guidelines kort een aantal andere verplichtingen rond de meldplicht datalekken, zoals beleid en procedures hebben om datalekken snel te herkennen en aan te pakken.
Daarnaast geldt ook de plicht om een datalek zo snel mogelijk te melden bij de toezichthouder. Ook als het onderzoek naar de volledige impact van het datalek nog niet is afgerond.
Aanvulling
De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep. Deze werkgroep is de voorganger van de EDPB. De EDPB heeft deze richtlijnen overgenomen.
Consultatie
De nieuwe guidelines zijn nog niet definitief. Betrokken partijen kunnen tot 2 maart 2021 commentaar leveren, via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve guidelines vast.
Te nemen maatregelen
Voorbeelden van maatregelen om schade bij een datalek te beperken zijn:
- Een laptop, tablet, of smartphone op afstand wissen of versleutelen.
- Een gepubliceerd bestand offline halen.
- Een verkeerde ontvanger vragen om een bevestiging dat de gegevens uit een brief of e-mail zijn vernietigd. Hoewel je op basis van zo’n bevestiging niet 100 procent zeker weet dat de gegevens zijn, kun je het wel meenemen in de risico-inschatting.
- Het op afstand blokkeren van de toegang tot een medewerkersaccount of clouddienst.
- Wanneer je verplicht bent om de betrokken personen te informeren, aangeven wat zij zelf kunnen doen om de schade te beperken.
Meer over datalekken op site Autoriteit Persoonsgegevens