Datalekken komen steeds vaker voor. Een datalek kan leiden tot reputatieschade, handhaving en aansprakelijkheid. Maar het is ook een kans om te laten zien dat een organisatie privacy en security serieus neemt. Waar moet je op letten bij een datalek?

1. Stel nu al een datalek-team samen. Het is verstandig om al voordat je bent geconfronteerd met een datalek, een goed voorbereid team samen te stellen dat snel kan handelen: een “datalek-team”. Drie functies zijn daarin van belang: de communicatie-afdeling (vaak zal je klanten moeten informeren en in de media je verhaal moeten doen), de security-afdeling (je zal precies moeten weten wat is gebeurd en snel maatregelen moeten nemen om eventuele gaten te dichten) en de juridische of de compliance afdeling (het is mogelijk dat je het lek moet melden bij toezichthouders en aansprakelijkheid is een belangrijk aandachtspunt).

2. Neem meldingen serieus. Vaak komt een bedrijf op de hoogte van een datalek door een melding van buiten. Meldingen van datalekken – dat bijvoorbeeld een website niet goed beveiligd is – komen vaak binnen op een algemeen e-mailadres, zoals info@willekeurigbedrijf.nl. Degene die dat adres beheert zal de melding niet altijd goed kunnen inschatten. Het is daarom belangrijk dat degene die dit soort meldingen in ontvangst neemt snel de juiste mensen – vaak de security-afdeling en de juridische afdeling – weet in te schakelen.

3. Inventariseer direct de omvang van het lek. Het doel is om een goed beeld te krijgen van wat er precies is gebeurd. Stel vragen als: wat voor gegevens zijn precies gelekt, hoe lang staat het lek al open, wie heeft toegang gekregen tot de gegevens, zijn de gegevens nog beschikbaar, zijn ze verder verspreid? Beperk je daarbij niet tot het gemelde lek, maar kijk breder: bestaat het gat misschien ook in andere systemen, en kon via het gat ook toegang worden gekregen tot andere systemen dan het gemelde lek? Beperk je ook niet tot alleen persoonsgegevens: het kan ook belangrijk zijn als andersoortige vertrouwelijke informatie is gelekt, bijvoorbeeld omdat dit moet worden gemeld bij de toezichthouder. Vraag je bij die gegevens ook af wat er kan gebeuren als die in verkeerde handen vallen: is er een risico op fraude, of diefstal?

4. Dicht het lek zo snel mogelijk. Zodra je een eerste beeld hebt van het lek moet je zo snel mogelijk maatregelen nemen om het lek te dichten. Als wachtwoorden toegankelijk zijn geweest – bijvoorbeeld omdat ze slecht versleuteld waren opgeslagen – moet je overwegen de passwords van de gebruikers te resetten (en hun natuurlijk te informeren, zie onder). In sommige gevallen is het verstandig de website als geheel offline te halen totdat het lek is gedicht.

5. Meld het lek bij de relevante toezichthouders waar nodig. Telecombedrijven moeten nu al datalekken en beveiligingsinbreuken melden. Bedrijven met kritieke infrastructuur beheren zullen inbreuken binnenkort ook moeten melden. Onderzoek dus of voor dit datalek een meldplicht geldt en schakel zo nodig professionele hulp in om u te helpen bij het meldingstraject.

6. Communiceer het lek aan klanten en aan de buitenwereld. Het is nooit leuk om aan klanten te moeten vertellen dat hun gegevens mogelijk in verkeerde handen zijn gekomen. Om twee redenen is het toch verstandig om dat snel te doen (en soms is het zelfs verplicht). Ten eerste stel je klanten op die manier in staat om maatregelen te treffen om verdere schade te voorkomen. Veel klanten gebruiken bijvoorbeeld hetzelfde wachtwoord op verschillende sites. Ook kunnen klanten onterechte afschrijvingen of nepmailtjes beter plaatsen en corrigeren. Zo beperk je ook de kans op aansprakelijkheid. Het beste is om zo transparant mogelijk te zijn in je communicatie: wat is precies gebeurd, wat zijn de gevolgen, wat kunnen gebruikers doen om fraude te voorkomen, hoe heb je gereageerd, hoe ga je voorkomen dat dit in de toekomst weer gebeurt? Stel een FAQ op en zet die op je site, en zorg dat ook de media makkelijk toegang heeft tot de persafdeling.

7. Overweeg of juridische stappen moeten worden genomen. Vaak zal een melding van een datalek goedaardig zijn: een ethische hacker komt achter een lek en meldt dat bij een bedrijf. Als hij of zij vervolgens zorgvuldig heeft gehandeld zijn juridische stappen doorgaans af te raden. Maar je moet ook rekening houden met de situatie dat een kwaadwillende is binnengedrongen. In dat geval moet je overwegen om aangifte te doen en onderzoeken of andere juridische stappen hun plaats zijn.

8. Neem maatregelen om dit in de toekomst te verbeteren. Als de storm enigszins is gaan liggen is het belangrijk om lessen te trekken uit dit datalek. Natuurlijk zijn datalekken nooit helemaal te voorkomen, maar toch kunnen bedrijven wel stappen nemen om de kans te beperken: kunnen de interne procedures verbeterd worden, bijvoorbeeld door de security-afdeling eerder in het ontwikkelingstraject te betrekken? Is de kwetsbaarheid die is ontdekt breder verspreid dan alleen dit datalek?

Ot van Daalen is advocaat en oprichter van advocatenkantoor Digital Defence dat is gespecialiseerd in security- en privacyrecht. Daarvoor was hij oprichter en directeur van de digitale burgerrechtenbeweging Bits of Freedom. Hij werkt ook als onderzoeker privacy- en securityrecht bij het Instituut voor Informatierecht aan de Universiteit van Amsterdam.