Datalek communicatie: eerste stappen zodra je een lek ontdekt
Een datalek zorgt al snel voor stress binnen je organisatie. Toch is juist in de eerste uren duidelijke communicatie cruciaal. Zodra je een mogelijk datalek ontdekt, start je met een interne inventarisatie. Breng in kaart welke gegevens zijn gelekt, hoeveel betrokkenen het betreft en of er bijzondere persoonsgegevens zijn geraakt. Deze informatie vormt de basis voor alles wat je daarna aan klanten en de Autoriteit Persoonsgegevens communiceert.
Controleer ook direct of jouw bestaande procedures nog actueel zijn. Heb je eerder een incident meegemaakt, dan kan een bestaand incident response plan helpen om sneller en consistenter te handelen. Zonder plan loop je het risico dat verschillende medewerkers tegenstrijdige boodschappen naar buiten brengen.
Welke informatie heb je minimaal nodig voor communicatie
Voor een goede communicatie na een datalek heb je een aantal vaste gegevens nodig. Beschrijf het type gegevens dat is gelekt, de oorzaak van het incident en het tijdsbestek waarin het heeft plaatsgevonden. Noteer ook welke systemen of diensten zijn geraakt, bijvoorbeeld je website, e-mailserver of een externe clouddienst. Hoe concreter deze informatie, hoe makkelijker je later een begrijpelijke uitleg geeft aan klanten en aan de Autoriteit Persoonsgegevens.
Zorg er daarnaast voor dat je kunt aangeven welke beveiligingsmaatregelen al aanwezig waren en welke extra stappen je hebt gezet na ontdekking van het lek. Dit laat zien dat je zorgvuldig met data omgaat en direct hebt ingegrepen om verdere schade te voorkomen.
Communiceren met klanten na een datalek
Wanneer blijkt dat het datalek gevolgen kan hebben voor klanten, moet je hen actief informeren. Doe dit zo snel mogelijk nadat je de impact redelijk hebt kunnen vaststellen. Gebruik heldere taal zonder technische jargon, zodat elke ontvanger begrijpt wat er is gebeurd en wat dit voor hem of haar betekent. Benoem eerlijk welke risico’s er zijn, bijvoorbeeld misbruik van inloggegevens of phishing via eerder verzamelde e-mailadressen.
Richt je boodschap altijd op de vraag wat de klant nu concreet moet doen. Denk aan het wijzigen van wachtwoorden, het extra opletten op verdachte berichten of het inschakelen van tweefactorauthenticatie. Een transparante en praktische aanpak helpt vertrouwen te behouden, zelfs als het incident ernstig is.
Voorbeelden van duidelijke en transparante klantcommunicatie
Een effectieve melding aan klanten bevat een korte beschrijving van het incident, de datum en het moment van ontdekking en de categorieën van gelekte gegevens. Voeg daar duidelijke instructies aan toe, zoals het periodiek wijzigen van wachtwoorden of het controleren van accountactiviteit. Verwijs in dezelfde communicatie naar een vaste contactpersoon of een speciaal e-mailadres waar klanten met vragen terechtkunnen.
Bij online diensten kun je op een centrale plek, bijvoorbeeld je statuspagina of blog, aanvullende uitleg geven over verbeterde beveiligingsmaatregelen. PC Patrol adviseert organisaties regelmatig om dit te combineren met structurele security awareness training, zodat medewerkers beter leren omgaan met phishing en andere oorzaken van datalekken.
Wanneer meld je een datalek bij de Autoriteit Persoonsgegevens
Volgens de AVG moet je veel datalekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dit geldt zeker wanneer er een risico bestaat voor de rechten en vrijheden van betrokkenen, bijvoorbeeld bij identiteitsfraude of financiële schade. Twijfel je, dan is het verstandig om je analyse goed te documenteren. Zo kun je later verantwoorden waarom je wel of niet hebt gemeld.
De melding aan de Autoriteit Persoonsgegevens vraagt om een meer formele en gedetailleerde beschrijving dan de communicatie aan klanten. Leg uit welke systemen zijn getroffen, hoe het lek is ontstaan en welke technische en organisatorische maatregelen je hebt genomen om herhaling te voorkomen.
De inhoud van een melding aan de Autoriteit Persoonsgegevens
In een formele melding beschrijf je de aard van het datalek, de categorieën en aantallen betrokken personen en de soorten gegevens. Ook geef je aan wat de waarschijnlijke gevolgen zijn voor die betrokkenen en welke stappen je hebt genomen om de schade te beperken. Vergeet niet een contactpunt voor privacygerelateerde zaken te benoemen, zoals je privacy officer of functionaris voor gegevensbescherming.
Na afronding van het incident is het verstandig om je processen en documentatie tegen het licht te houden. Denk bijvoorbeeld aan je procedures rondom backups en herstel, waar we eerder op terugkwamen in onze blog over een disaster recovery plan voor je website en hosting. Door deze lessen direct te verwerken in je beleid, verklein je de kans op herhaling en ben je beter voorbereid op een eventueel volgend incident.