Bij een administratiekantoor ontstond bijvoorbeeld een datalek door een verkeerd geadresseerde mail. Dat meldt de Autoriteit Persoonsgegevens.
Wat was de situatie?
Sinds de crisis halen medewerkers van een administratiekantoor – als ze op kantoor zijn – vaker dossiers uit het systeem en mailen dit naar hun werkmail, zodat ze hier thuis verder aan kunnen werken. Dit is fout gegaan.
Een van de medewerkers heeft vanaf kantoor per ongeluk vijf persoonlijke, financiële dossiers naar een klant gemaild in plaats van naar het werkmailadres van zijn thuiswerkende collega. Hij kwam erachter doordat de vrouw die de mail ontving, contact met het kantoor heeft opgenomen. De vrouw in kwestie gaf aan dat ze alle gegevens –waaronder BSN’s en financiële jaaroverzichten – heeft verwijderd.
Vervolgens zijn de betrokken personen meteen geïnformeerd over dit datalek, ook al waren de gegevens verwijderd.
Administratiekantoren werken met veel gevoelige informatie. Aan het begin van de crisis heeft het administratiekantoor snel geregeld dat de medewerkers vanuit huis bij hun werkmail kunnen. Dit om te voorkomen dat ze dossiers naar hun onbeveiligde privémail gingen sturen. Maar dossiers mailen blijft risicovol.
Veilig thuis werken
Met de volgende vier tips werk je veilig thuis:
- Werk in een beveiligde omgeving
- Bescherm gevoelige documenten
- Wees voorzichtig met het gebruik van (video)chatdiensten
- Let op phishingmails.
Beveiliging persoonsgegevens
Bedrijven en overheden die persoonsgegevens gebruiken moeten deze volgens de Algemene verordening gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.
Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen:
- Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen.
- Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.
Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.
Lees meer over beveiliging persoonsgegevens
Beveiliging verwerking
In de AVG staat dat je persoonsgegevens goed moet beveiligen. Daarom moet je eerst goed in kaart brengen welke verwerkingen je uitvoert. Daarna bepaal je welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.
Het beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Het gaat bijvoorbeeld om risico’s door vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. Je moet daarbij rekening houden met de volgende punten:
- De stand van de techniek.
- De uitvoeringskosten.
- De aard, de omvang, de context en de verwerkingsdoeleinden van de verwerking.
- Hoe waarschijnlijk en ernstig het is voor de betrokken personen als er een beveiligingslek ontstaat.
Maatregelen
Het is belangrijk dat je in elk geval maatregelen overweegt die nodig zijn om:
- de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
- bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
- te testen of de genomen maatregelen nog steeds effectief zijn. Een procedure om met vaste regelmaat te testen of de genomen beveiligingsmaatregelen nog steeds voldoende effectief zijn.
Lees meer over beveiligen verwerkingen
Persoonsgegevens via mail
Mag je persoonsgegevens versturen via e-mail, app, cloudprovider X?
In de AVG staat niet expliciet dat het gebruik van deze diensten verboden is. Wel kan het soms als een ‘gebrek aan beveiliging’ worden gezien, bijvoorbeeld als de werknemer gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is omdat de aanbieder de gegevens verkoopt aan onbekende derden voor marketingdoeleinden.
Hoe kun je veilig persoonsgegevens via email versturen?
Wil je persoonsgegevens via e-mail versturen, dan is de organisatie er verantwoordelijk voor dat je die gegevens veilig verstuurt.
Je moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen je moet treffen. Wel dat deze passend moeten zijn. Twee voorbeelden van passende maatregelen:
- Het versleutelen van de persoonsgegevens in een e-mailbijlage.
- Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.
Logbestanden
Als organisatie moet je de persoonsgegevens die je verwerkt passend beveiligen. Via logging worden gebeurtenissen op de systemen vastgelegd, bijvoorbeeld wie bepaalde gegevens heeft bekeken of aangepast, maar ook pogingen om ongeautoriseerd toegang te krijgen.
Door de logbestanden regelmatig te controleren of automatisch te analyseren, kun je bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kun je datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest.
Op basis van de verkregen informatie uit het loggen, kun je efficiënter in actie komen bij een datalek. En/of bepalen welke aanvullende technische en organisatorische maatregelen je moet treffen.
Datalek
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
De term ‘datalek’ komt niet voor in de wet. De AVG heeft het over een ‘inbreuk in verband met persoonsgegevens’.
De privacywet eist dat organisaties een datalek melden bij de AP, behalve als het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen informeer je alleen als sprake is van een hoog risico.
Hoog risico
Van een hoog risico is sprake als een datalek kan leiden tot bijvoorbeeld identiteitsdiefstal of -fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens. Een ander voorbeeld is een datalek met bijzondere persoonsgegevens, zoals gegevens over de gezondheid.
Betrouwbare ontvanger
Heb je persoonsgegevens gelekt aan een verkeerde ontvanger, maar gaat het om een ‘betrouwbare ontvanger’? Dan kan dit betekenen dat het onwaarschijnlijk is dat het datalek een risico oplevert voor de betrokken personen. Je hoeft het datalek dan niet te melden aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen.
‘Betrouwbaar’ houdt in dat je er redelijk zeker van kunt zijn dat de onjuiste ontvanger geen kwaad in de zin heeft. Dus dat hij verder niets doet met de per ongeluk ontvangen gegevens. En dat hij zich houdt aan de eventuele instructies, bijvoorbeeld om de persoonsgegevens terug te sturen of te vernietigen.
Een voorbeeld van een betrouwbare ontvanger kan zijn een partijen met wie je een zakelijke relatie hebt, bijvoorbeeld een vaste leverancier.
Registreer een datalek wel altijd in het datalekkenregister. Ook als je het datalek niet hoeft te melden aan de AP en de betrokken personen.
Alles over meldplicht datalekken