Eerste Hulp bij privacy incidenten

Wij bieden snelle en adequate hulp aan bij datalekken en andere privacyvraagstukken. Onze security en privacy specialisten staan voor je klaar. Neem vandaag nog contact met ons op.
  • Borging van continue verbetering
Vertrouwd door 1.500+ klanten in zorg en informatietechnologie

Wij helpen bedrijven bij:

  • Het adequaat opvolgen van privacy verzoeken en datalekken
  • Het borgen van verplichtingen uit de AVG
  • Het beperken van privacy risico's en het nemen van doeltreffende maatregelen

Wat is een privacy incident of datalek?

Medische gegevens die naar een verkeerde ontvanger zijn verstuurd, kwaadwillenden die zich toegang hebben verschaft tot een database met persoonsgegevens zijn voorbeelden van een datalek waarbij de vertrouwelijkheid is geschonden. Maar wist je dat een onbedoelde wijziging van persoonsgegevens of het niet beschikbaar zijn van persoonsgegevens ook datalekken zijn? Bij deze incidenten is de integriteit of de beschikbaarheid van de gegevens geschaad. De term datalek is daardoor onhandig gekozen en verwarrend: het gaat om veel meer dan het ‘lekken’ van persoonsgegevens (data). Een "datalek" is een begrip uit de volksmond. De AVG spreekt daarom ook niet van een datalek, maar van een inbreuk in verband met persoonsgegevens!

De Autoriteit Persoonsgegevens definieert een datalek als de “toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, of zonder dat dit wettelijk is toegestaan.”

Het belang van snel handelen

Zodra een melder in of buiten jouw organisatie een mogelijk datalek ontdekt, moeten de alarmbellen gaan rinkelen. Je wilt zo snel mogelijk handelen om de gevolgen voor betrokkenen te minimaliseren en om te voldoen aan de meldplicht bij de Autoriteit Persoonsgegevens.

Als organisatie heb je namelijk 72 uur de tijd om het datalek te melden bij de Autoriteit Persoonsgegevens. Binnen die 72 uur is het dus zaak om zoveel mogelijk informatie in te winnen en mitigerende maatregelen te nemen.

Wanneer is het melden verplicht?

Het melden is verplicht als de inbreuk invloed kan hebben op de rechten en vrijheden van betrokkenen, denk aan financiële schade, ID-fraude, reputatieschade of ongewenst contact door vreemden. In dergelijke gevallen moet men meestal ook een melding doen aan de betrokkenen.

Contactpersonen

Haal een expert aan boord

Wij maken organisaties al 10 jaar weerbaar tegen risico's

    Veel voorkomende privacy incidenten

    Organisaties kunnen met diverse privacy incidenten te maken krijgen. Zorg ervoor dat je op onderstaande incidenten voorbereid bent:

    Identiteitsdiefstal

    Dit gebeurt wanneer iemands persoonlijke informatie wordt gebruikt zonder toestemming, meestal voor frauduleuze doeleinden zoals het openen van bankrekeningen, het aanvragen van krediet of het uitvoeren van illegale transacties.

    Ongeautoriseerde toegang

    Het ongeoorloofd verkrijgen van toegang tot systemen, applicaties of netwerken kan leiden tot het blootstellen van gevoelige gegevens. Dit kan het resultaat zijn van zwakke wachtwoorden, gebrekkige beveiligingsmaatregelen of insider threats.

    Verlies of diefstal van apparaten

    Wanneer apparaten zoals laptops, smartphones of USB-drives verloren gaan of gestolen worden, kan dit leiden tot het verlies van gevoelige informatie die op deze apparaten is opgeslagen, tenzij er sterke versleuteling en beveiligingsmaatregelen zijn getroffen.

    Cyberaanvallen

    Hackers kunnen systemen binnendringen om toegang te krijgen tot gevoelige gegevens. Dit kan gebeuren door middel van methoden zoals malware, ransomware, of andere geavanceerde aanvalstechnieken.

    Onveilige opslag en overdracht van gegevens

    Het opslaan van gegevens op onveilige locaties, zoals onversleutelde servers of cloudopslag, kan leiden tot ongeautoriseerde toegang. Ook onveilige overdracht van gegevens, bijvoorbeeld via onbeveiligde netwerken, vormt een risico.

    De werkzaamheden tijdens onze Eerste Hulp bij datalekken service

    Een datalek is niet altijd te voorkomen, zelfs wanneer er nog zoveel organisatorische en technische maatregelen zijn genomen. Belangrijk is dat jouw organisatie voorbereid is op verschillende scenario's en ook snel de juiste stappen weet te ondernemen.

    BMGrip begeleidt organisaties voor, tijdens en na datalekken:

    1. Beoordelen van de volwassenheid van de organisatorische en technische maatregelen ter voorkoming van datalekken
    2. Opstellen, vastleggen, testen en oefenen van het proces hoe te reageren op een datalek
    3. Bewustzijn creëren van wat een datalek is en hoe gereageerd moet worden volgens het vastgelegde proces
    4. Uitvoeren Privacy audits om vast te stellen waar mogelijke zwakheden liggen
    5. Vaststellen welke data high risk zijn voor de organisatie en voor de betrokkenen
    6. Instellen en bijhouden van een Verwerkingsregister
    7. Instellen, bijhouden en opvolgen van incidentenregister om inbreuken te registreren
    8. Instellen, bijhouden en (tijdig) uitvoeren van DPIA’s

    Ons stappenplan bij privacy incidenten

    Welke stappen kan BMGrip samen met je nemen indien er toch onverhoopt een datalek is ontstaan?

    1. Onderzoek naar de ernst van de melding
    2. Samen met jouw organisatie en Privacy Officer/CISO eventueel forensisch onderzoek doen naar het tot stand komen van het datalek
    3. Onderzoek naar de omvang en impact van het datalek
    4. Gedegen interne rapportage met duidelijk advies binnen de maximale meldingstermijn van een datalek (72 uur bij de AP)

    Contact opnemen

    Heb je hulp nodig bij datalekken of privacyincidenten? Of wil je met een informatiebeveiligings- en privacyspecialist eens sparren over de te nemen stappen? Neem direct contact op met ons privacyteam.

    Dit zijn stuk voor stuk Functionarissen Gevensbescherming die vaker met dit bijltje hebben gehakt. Wij staan 7 dagen per week voor je klaar. En bij datalekken houden wij natuurlijk rekening met de meldtermijn. Wij reageren dezelfde ochtend of middag nog. De eerste intake of probleemindicatie per e-mail is kosteloos. Daarna kunnen we samen toewerken naar een oplossing.

    Laat jouw gegevens achter en we nemen binnen één werkdag contact met je op.

    Mogelijk ook interessant

    Normen die worden gecombineerd met de ISO 27001 standaard

    • ISO 27001 certificering - Norm voor informatiebeveiligingsmanagementsystemen
    • NEN 7510 certificering - Norm voor informatiebeveiliging in de zorg
    • ISO 27701 certificering - Norm voor privacymanagementsystemen
    • ISO 22301 certificering - Norm voor bedrijfscontinuïteit managementsystemen
    • ISO 9001 certificering - Norm voor kwaliteitsmanagementsystemen
    • ISO 27002 - Guideline voor de implementatie van een ISMS
    • ISO 27006 - Guideline voor het uitvoeren van informatiebeveiliging risicoanalyses
    • ISO 27017 - Norm voor  informatiebeveiliging bij clouddiensten
    • ISO 27018 - Norm voor privacy bij cloudpartijen

    Andere interessante certificeringen en services

    Services m.b.t. managementsystemen

    Direct hulp

    Schakel binnen 24 uur met onze consultants.

      Heb je een vraag over onze diensten?

      Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!