Een datalek is sneller gebeurd dan je denkt: een gestolen laptop, een verkeerd geadresseerde mailing of een e-mail met alle adressen in het cc-veld. Levert het lek een risico op voor de betrokkenen, dan moet je het binnen 72 uur melden bij de Gegevensbeschermingsautoriteit (GBA). Dit stappenplan helpt je gestructureerd te reageren.

Stap 1: dam het lek in

Beperk eerst de schade. Trek toegang in, reset wachtwoorden, haal een lekkende pagina offline en probeer verloren gegevens te herstellen of definitief te wissen. Hoe sneller je ingrijpt, hoe kleiner het risico.

Stap 2: schat het risico in

Beoordeel of het lek waarschijnlijk een risico inhoudt voor de betrokkenen. Kijk naar de aard van de gegevens, het aantal personen en de mogelijke gevolgen. Een lek van rijksregisternummers of financiële gegevens weegt zwaarder dan een lek van louter een voornaam.

Stap 3: meld binnen 72 uur

Is er een risico, meld het datalek dan binnen 72 uur na ontdekking bij de GBA via haar online meldingsformulier. Heb je nog niet alle informatie, meld dan gefaseerd en vul later aan. Te laat melden is op zich al een inbreuk.

Stap 4: informeer de betrokkenen

Bij een hoog risico licht je ook de getroffen personen rechtstreeks in, in duidelijke taal, met uitleg over wat er gebeurde en wat zij zelf kunnen doen, zoals een wachtwoord wijzigen of hun rekening in de gaten houden.

Stap 5: registreer en leer

Noteer elk lek in je interne datalekregister, ook de lekken die je niet hoeft te melden. Analyseer de oorzaak en pas je beveiliging aan om herhaling te voorkomen. Zo toon je aan de GBA aan dat je gestructureerd handelt.

Voorbereid zijn loont

Leg vooraf vast wie binnen je organisatie een lek beoordeelt en meldt. Een korte interne procedure zorgt ervoor dat de klok van 72 uur je niet verrast.