Als juridisch professional hebt u heel wat gegevens van uw cliënten, van namen en emailadressen tot gevoelige financiële en juridische informatie. U bewaart die uiteraard op een veilige manier. U heeft goede wachtwoorden ingesteld, u beperkt het aantal medewerkers dat toegang heeft tot gevoelige privégegevens, enz. Maar weet u wat te doen als die gegevens het voorwerp uitmaken van een datalek? Wij zetten in vijf stappen uiteen hoe u best te werk gaat.

Stap 1: Nagaan of er werkelijk sprake is van een lek

Vermoedt u dat er een datalek heeft plaatsgevonden of heeft één van uw medewerkers u een mogelijk lek gemeld, dan moet u eerst vaststellen of er werkelijk een datalek heeft plaatsgevonden. De wet gebruikt het ruimere juridische begrip ‘een inbreuk in verband met persoonsgegevens’, waar overigens nog andere soorten inbreuken onder vallen.

Een datalek kan in verschillende vormen voorkomen. Misschien denkt u onmiddellijk aan het ergste: u wordt gehackt of uw data worden gestolen. Het lekken van gegevens kan echter ook per ongeluk gebeuren: bv. wanneer u of uw medewerker een laptop, usb-stick of papieren op de trein vergeet.

Wanneer medewerkers toegang hebben gekregen tot data waar ze in feite geen toegang tot mogen hebben, spreken we eveneens van een datalek.

Ten slotte is er sprake van een inbreuk wanneer data verloren gaan, bv. omdat ze vernietigd worden door een brand of computercrash of wanneer ze ten onrechte gewist worden.

Stap 2: Het lek stoppen en de schade beperken

Werd uw informaticasysteem gehackt, dan spreken we van een actief datalek zolang het lek voortduurt. Het spreekt voor zich dat u dit zo snel mogelijk moet stoppen. U heeft hiervoor allicht technische ondersteuning nodig. Zorg dat u de juiste mensen (uw IT-specialist, de beheerder van uw site) onmiddellijk aan het werk kunt zetten.

Wacht echter niet op hen, maar neem zelf ook al actie indien mogelijk: verplaats de data naar een andere veilige plek, verander uw wachtwoorden.

Vergat u uw laptop op de trein, dan is het een eenmalig lek. Hier kunt u bijvoorbeeld tegen optreden door uw account te blokkeren of uw wachtwoorden te veranderen.

Stap 3: Informatie verzamelen

Verzamel alle informatie over het hoe en wat van het datalek. Wat is er precies gebeurd en hoe is het kunnen gebeuren. Dit is van vitaal belang:

• Om de schade te beperken.
• Om een gelijkaardig incident in de toekomst te vermijden.
• Om op de vragen van de gegevensbescherminsgautoriteit (GBA) en de betrokkenen te kunnen antwoorden.

Stap 4: Meld het incident aan de GBA

Het lek melden aan de GBA doet u binnen de 72 uur via een webformulier op hun website. U hoeft de inbreuk niet te melden als die geen risico inhoudt voor de rechten van de betrokkenen, bijvoorbeeld wanneer de data versleuteld zijn en daardoor onbruikbaar voor onbevoegden. Toch is het ook in dat geval aangewezen de verzamelde informatie goed bij te houden. Als de GBA op een later tijdstip toch vragen stelt, moet u immers alle documentatie kunnen voorleggen.

Melden kan in het Nederlands, Frans of Duits. Eventuele technische bijlagen mogen ook in het Engels. Andere talen zijn uitgesloten.

Wat melden, als de melding verplicht is? In de eerste plaats moet  u de aard van de inbreuk melden. Dat houdt o.a. in de categorieën van betrokkenen, het soort persoonsgegevens, de waarschijnlijke gevolgen van de inbreuk en bij benadering, het aantal betrokkenen.

Daarnaast noemt u de naam en de contactgegevens van de functionaris voor gegevensbescherming (= de dpo of data protection officer) of een ander contactpunt binnen uw kantoor waar de GBA met vragen terecht kan.

Ten slotte legt u uit welke maatregelen u hebt genomen om de inbreuk te voorkomen en wat uw plan van aanpak is om de schade te beperken.

Stap 5: De betrokkenen op de hoogte brengen

Moet u de betrokkenen effectief op de hoogte brengen?

JA, als het lek waarschijnlijk een hoog risico inhoudt voor de natuurlijke personen wiens gegevens zijn gelekt. Dat mag u gewoon per mail doen, in een duidelijke en verstaanbare taal – dus geen technische uitleg. Ook als de GBA u dit uitdrukkelijk vraagt, brengt u de betrokkenen op de hoogte.

NEEN, als u goede technische en organisatorische maatregelen hebt genomen om inbreuken te vermijden en die ook effectief zijn toegepast op de betrokken persoonsgegevens. Dit is het geval als de gelekte persoonsgegevens onbruikbaar zijn voor onbevoegden, bv. omdat ze versleuteld zijn. Melden is evenmin nodig als u na het lek onmiddellijk de juiste maatregelen hebt genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet (meer) voordoet.

Ten slotte is het niet nodig de betrokken persoonlijk in te lichten als dit onevenredige inspanningen van u zou vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

Besluit: leren uit een incident

Een datalek is een bijzonder ernstig incident. Het is dan ook noodzakelijk dat u onmiddellijk de actie onderneemt: het lek stoppen, en indien nodige autoriteiten en betrokkenen op de hoogte brengen. Maar vergeet zeker ook niet, dat u van ieder incident iets kunt leren. Eerst en vooral hoe u in de toekomst een dergelijk voorval vermijdt.

Voor al wie met (gevoelige) data werkt is permanente waakzaamheid een must geworden. We geven u daarom graag nog drie tips mee:

• Evalueer op regelmatige basis uw veiligheidsmaatregelen. Schakel daar ook een externe specialist voor in, vraag bv. ethische hackers om uw systeem proberen te kraken.
• Brief uw medewerkers hoe ze correct met gevoelige data moeten omgaan, koppel er indien nodig een jaarlijkse opleiding aan.
• Blijf oplettend: wijzig dus regelmatig uw wachtwoorden, versleutel gevoelige data zodat ze onbruikbaar zijn voor derden, … .

Als u deze regels volgt, kunt u hopelijk incidenten vermijden. Wordt u toch met een datalek geconfronteerd, sla dan niet in paniek, maar handel kordaat en snel. Met het oog daarop is het cruciaal dat u aan de hand van de vijf stappen hierboven een intern draaiboek opstelt, hoe u concreet te werk zult gaan: schrijf stap per stap uit wie wat doet (binnen en buiten uw kantoor).  Zorg dat de verantwoordelijken ook weten dat ze aangesproken kunnen worden en dat u hen snel en efficiënt kan bereiken. Zo bent u op elk scenario voorbereid.