GDPR (17) Wat te doen bij een datalek – incident management

22 december 2017

In de vorige afleveringen hebben we stapsgewijs besproken hoe je gepaste maatregelen kunt nemen om de persoonsgegevens die je verwerkt, goed te beveiligen. Je moet inzicht hebben in de mogelijke risico’s. Je moet diverse maatregelen nemen om de risico’s als het kan weg te werken of te verminderen. En als je onderaannemers inschakelt, moet je ervoor zorgen dat zij zich even goed organiseren als je zelf doet. Maar toch kan er nog altijd iets misgaan. Wat dan moet gebeuren, is het onderwerp van deze aflevering.

De term datalek of in het Engels ‘data breach’ wordt gebruikt voor de situatie waarbij vertrouwelijke gegevens verloren gaan of onterecht gewijzigd worden, publiek gemaakt worden of in verkeerde handen terechtkomen. De GDPR schrijft voor dat de verantwoordelijke voor de verwerking van persoonsgegevens zonder onnodig uitstel aangifte moet doen van datalekken die mogelijk een inbreuk op de privacy van betrokkenen kunnen vormen. Indien er een ernstig risico is op schade, moeten de betrokkenen zelf ook op de hoogte gebracht worden.

Vooraleer me te mengen in de discussie wanneer je nu wel of niet een datalek moet melden aan de privacy commissie, zou ik eerst willen focussen op het incident management zelf. De allereerste verplichting die je als verantwoordelijke en als verwerker hebt, is immers incidenten voorkomen en als ze toch voorvallen de impact ervan zoveel mogelijk beperken.

De eerste bekommernis is incidenten zo vroeg mogelijk opmerken. Hiertoe kunnen diverse netwerktools worden ingezet, die abnormaal gedrag op het netwerk aan het licht kunnen brengen, virussen of malware kunnen detecteren of content filtering toepassen. Maar even goed kunnen alerte medewerkers inbreuken opmerken en signaleren. Daarom is het erg belangrijk regelmatig opleidingen voor het personeel te organiseren of awareness acties op te zetten, zodat het voor iedereen duidelijk is wanneer een situatie abnormaal of verontrustend is. Het is ook belangrijk dat alle medewerkers goed weten wie bij een incident moet ingeschakeld worden.

In tweede instantie moet je dan zo snel mogelijk stappen zetten om het incident te stoppen of de impact te beperken. Alle medewerkers moeten een aantal regels in acht nemen. Als ze informatie aantreffen op een plaats waar deze niet thuishoort, verwijderen ze deze of verwittigen een verantwoordelijke. Dit kan om fysieke dragers gaan maar ook om bestanden op het netwerk. Als ze vreemden in een beveiligde zone tegenkomen zonder begeleiding, slaan ze alarm. En ga zo maar door. Als alarmen opduiken die wijzen op hacking of infectie van systemen, zullen de systeembeheerders dergelijk systeem zo snel mogelijk onderzoeken en misschien preventief uitschakelen.

Bij twijfel is het aangewezen een verwerking stop te zetten of het transport van verwerkte gegevens tegen te houden, totdat duidelijk is of er effectief een probleem is en in hoeverre de verwerkte gegevens nog correct zijn. Op deze manier kan vaak voorkomen worden dat een incident uiteindelijk tot een datalek leidt. Zolang verkeerdelijk verwerkte gegevens niet verspreid worden of openbaar gemaakt, is er nog geen inbreuk gepleegd en dus nog geen impact. Strikt gezien is er in dat geval nog geen datalek.

Vervolgens, eventueel parallel daarmee, kan een analyse starten van de feiten. Enerzijds wordt de eigenlijke oorzaak van het probleem vastgesteld. Dan kan je nadenken over verbeteringen in de organisatie, in systemen of toepassingen en in de werkwijze van medewerkers, om herhaling te voorkomen. Anderzijds wordt de werkelijke of mogelijke impact van het incident bekeken. Zijn er gevaren voor de vertrouwelijkheid en de integriteit van de data? Zijn de data (deels) persoonsgegevens? Welke gevolgen kan de inbreuk hebben. In veel gevallen zal het wat tijd vergen om te achterhalen hoeveel data impact ondervonden hebben van het incident en hoeveel personen dus betrokken zijn. Het zal ook niet altijd meteen duidelijk zijn of er werkelijk een risico op impact is en zeker niet hoe groot de schade zou kunnen zijn.

Pas als dergelijke vragen beantwoord zijn, is het mogelijk de juiste keuze te maken omtrent de noodzaak het datalek te melden aan de privacy commissie of de betrokkenen. Of en wanneer dit moet gebeuren, bespreken we in de volgende aflevering.

Los daarvan moet elk incident intern in een register genoteerd worden. Of er nu een echte inbreuk plaatsvindt of het gaat eerder om een ‘bijna botsing’, het incident moet altijd geanalyseerd worden. Die informatie is belangrijk om de bestaande procedures en richtlijnen te evalueren en na te gaan of de genomen maatregelen afdoende beschermen tegen de mogelijke risico’s. De oorzaken van een incident moeten bijgehouden worden en de voorgenomen verbeteracties. Door dit systematisch op te volgen, verbeter je stelselmatig de beveiliging van je organisatie.

In extreme gevallen kan een datalek ook leiden tot een regelrechte ramp. Een organisatie kan met immense communicatieproblemen geconfronteerd worden als zeer gevoelige informatie gelekt is over een zeer groot aantal betrokkenen. Soms gebeurt het dat het lek buiten de eigen organisatie bekend geraakt is en dat de pers al op de hoogte is. Dan is het goed te kunnen terugvallen op voorbereide scenario’s voor crisiscommunicatie. Als je organisatie een cyber security verzekering heeft afgesloten, kan de verzekeringsmaatschappij hierbij soms ook hulp bieden.

Als het vermoeden bestaat dat criminele feiten gepleegd zijn, moet je er ook voor zorgen tijdig een juridisch dossier op te bouwen. Soms is het van belang snel een backup te maken van de situatie op het ogenblik dat het incident ontdekt wordt of log files opzij te zetten, voordat deze informatie verdwijnt of gewijzigd raakt door stappen in het oplossingsproces van het incident. Het is duidelijk dat dergelijke stap soms zal indruisen tegen wat nodig is om snel het bestaande probleem in te perken. Als politie of gerecht in het spel zijn, mag je ook nooit uit het oog verliezen wat je wel of niet eigenmachtig kan doen, zeker als je de rol van verwerker hebt. Schakel zo snel mogelijk de verantwoordelijke in. Als de overheden je verplichten informatie af te staan, blijf je nog altijd de verantwoordelijkheid behouden deze informatie maximaal te beschermen en moet je erover waken geen gegevens, bijvoorbeeld van andere betrokkenen, bloot te stellen indien dit voor het onderzoek niet nodig is.

Het is wijs deze achtereenvolgende stappen goed te documenteren, zodat iedereen in de organisatie ze kent en ernaar handelt. Dit is ook nuttig om aan te tonen dat je de verplichtingen van de GDPR ernstig ter harte neemt.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING