Wat is een datalek volgens de AVG
Een datalek is meer dan alleen een gehackte website. Volgens de AVG is er sprake van een datalek zodra er een inbreuk is op de beveiliging die leidt tot verlies, wijziging, ongeoorloofde verstrekking of inzage van persoonsgegevens. Dit kan gaan om klantgegevens, inloggegevens, IP-adressen, bestelgeschiedenis of contactformulieren die via jouw website worden verzameld.
Voor website-eigenaren betekent dit dat niet alleen een compleet uitgelekte database telt als datalek. Ook een verkeerd geadresseerde export van nieuwsbriefabonnees, een onbeveiligde back-up op een openbaar bereikbare server of een fout ingestelde logfunctie kan al tot een meldplichtig datalek leiden. Zeker als je gebruikmaakt van formulieren, webshops of accountsystemen is de kans groot dat jouw site persoonsgegevens verwerkt.
Veelvoorkomende oorzaken van datalekken op websites
Bij websites zien we vaak dezelfde oorzaken terug. Verouderde plug-ins of thema’s in bijvoorbeeld WordPress maken misbruik door aanvallers eenvoudig. Onvoldoende sterke wachtwoorden of het hergebruiken van wachtwoorden zorgen er daarnaast voor dat brute-force aanvallen sneller slagen. Ook verkeerd geconfigureerde servers, open directory’s of publiek toegankelijke back-ups zijn een bekend risico. PC Patrol heeft al eerder uitgelegd hoe een onveilige database kan leiden tot datalekken in het artikel over het beveiligen van een MySQL database, dat je kunt terugvinden op onze blogpagina via onze blogsectie.
Welke stappen ben je verplicht te nemen bij een datalek
Zo snel mogelijk handelen is cruciaal zodra je vermoedt dat er een datalek is. De AVG verlangt dat je het incident registreert, beoordeelt en indien nodig meldt bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen. De tijdslimiet van 72 uur na ontdekking maakt dat je processen vooraf moet inrichten, zodat je niet pas gaat nadenken als het misgaat.
De eerste stap is het stoppen of beperken van de inbreuk. Denk aan het offline halen van de site, het wijzigen van wachtwoorden, het intrekken van API-sleutels of het herstellen van een veilige back-up. In een eerder artikel heeft PC Patrol uitgelegd hoe je een WordPress website veilig herstelt na een hack en een back-up terugzet. Zulke procedures helpen je om de impact van een datalek te beperken en sneller te voldoen aan de AVG-verplichtingen.
Documenteren, beoordelen en melden van het datalek
Ieder datalek moet je intern documenteren, ook als je het uiteindelijk niet meldt bij de toezichthouder. In die documentatie omschrijf je wat er is gebeurd, welke gegevens zijn geraakt, hoeveel personen mogelijk zijn getroffen, welke beveiligingsmaatregelen aanwezig waren en welke acties je hebt genomen. Op basis van deze informatie beoordeel je of er sprake is van een risico voor de rechten en vrijheden van betrokkenen.
Is dat risico aanwezig, dan moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als er een hoog risico is, moet je ook de betrokken personen informeren in begrijpelijke taal. Daarnaast hoort bij een professionele aanpak dat je je processen en beveiliging evalueert en aanscherpt. Denk aan strengere wachtwoordbeleid, extra logging, het toepassen van encryptie en het kiezen voor veilige hosting. Meer informatie over veilige hostingoplossingen vind je op de pagina over hosting bij PC Patrol, waar we ingaan op beveiliging en dataveiligheid binnen onze infrastructuur.