Datalekken: zwijgen is zilver, spreken is goud

Het melden van datalekken binnen de organisatie is belangrijk. In de eerste plaats om zo snel mogelijk maatregelen te kunnen treffen om het datalek te beëindigen en daarmee de gevolgen te beperken. Ook moet je als organisatie leren van gemaakte fouten, om vervolgens het risico op een datalek in de toekomst te verkleinen. Wat we ons goed moeten realiseren, is dat een datalek dat een risico inhoudt voor betrokkene(n) uiterlijk 72 uur na kennisname moet worden gemeld bij de Autoriteit Persoonsgegevens (AP). Tevens moet een datalek dat waarschijnlijk een hoog risico inhoudt voor betrokkene(n) zo snel mogelijk worden gemeld aan betrokkene(n). Het niet of niet tijdig melden van een dergelijk datalek aan de AP levert een (extra zware) boete op, als het datalek later uitkomt. En in de laatste plaats ben je als organisatie verplicht ieder datalek intern te registreren. Ook wanneer melding bij de AP niet nodig is.

Wordt er binnen jouw organisatie nog te weinig gesproken over datalekken? En wil je dat medewerkers meer meldingen doen? Zorg dan voor meer kennis en inzicht, neem de angst weg en facilitair het melden.

1. Meer kennis en inzicht

Medewerkers moeten weten wat een datalek is, datalekken kunnen herkennen en weten hoe ze met een datalekprocedure moeten omgaan. Dit kun je op verschillende manieren bereiken, als je er maar voor zorgt dat je iemand op een persoonlijke manier aanspreekt. Denk hierbij aan:

• Training bij aanvang (tijdelijk) contract
  Informeer een medewerker vanaf het eerste moment. Begin bij het begin en denk aan iets als: “Wat is een datalek, wat moet jij ermee en waarom?” Wanneer medewerkers dit weten (en niet meer vergeten!), ben je al een heel eind.

• Communiceer via verschillende kanalen
  Kies verschillende kanalen waardoor medewerkers informatie krijgen en (terug) kunnen vinden over dit thema. Denk aan een nieuwsbrief, intranet, e-learning of posters op de afdelingen. Houd de informatie kort en concreet. Een overvloed aan informatie kan als storend worden ervaren. Wanneer informatie niet wordt gelezen, leidt dit mogelijk tot risico’s voor de organisatie en privacyrisico’s voor betrokkenen.
  
  
• Workshops
  Organiseer workshops (niet te groot) en kijk voor de invulling hiervan naar de dagelijkse praktijk van jouw medewerkers. Concrete voorbeelden die spreken tot de verbeelding zorgen voor een beter begrip en herkenning van een datalek.

2. Angst wegnemen

Werk in de eerste plaats met waardering en complimenten wanneer een melding wél wordt gedaan. Doe tevens eens onderzoek binnen jouw organisatie om te kijken waar dit gevoel van angst vandaan komt. Is die angst reëel of is dit ontstaan door externe factoren, zoals ontslagzaken die in de media zijn verschenen? Wees helder over sancties die zijn verbonden aan het overtreden van bepaalde IT- en beveiligingsprocedures. Medewerkers weten zo vooraf hoe zij in een bepaalde situatie kunnen worden behandeld. Dit kan het idee dat er een sanctie staat op elk datalek dat wordt veroorzaakt wegnemen en de angst om melding te maken verkleinen.

3. Faciliteer het melden

Stel een datalekprocedure op. Zorg dat het voor werknemers duidelijk is (1) dat een datalek moet worden gemeld en (2) bij wie en hoe ze dit moeten doen. Een enkele verwijzing naar deze procedure volstaat in de praktijk niet. De procedure moet goed aansluiten bij de werkpraktijk en bekende procedures. Maak als organisatie steeds weer duidelijk wat het belang is van deze procedure (informeer over de gevolgen van een datalek) en dat jouw medewerkers hard nodig zijn om het protocol optimaal te laten werken.  

Ondersteuning nodig?

Wil je meer bewustwording creëren bij jouw medewerkers of heb je hulp nodig bij het maken van een datalekprocedure die past bij jouw organisatie? Of heb je andere privacy gerelateerde vraagstukken? Neem vrijblijvend contact op, onze privacy & informatiebeveiliging specialisten denken graag mee over de meest passende oplossing voor jouw bedrijf.