Je kunt er de afgelopen weken niet omheen. Datalekken! Het zijn niet alleen commerciële bedrijven die worden geraakt, ook overheidsorganisaties, toezichthouders en zorginstellingen blijken kwetsbaar.

• De Autoriteit Persoonsgegevens (AP) zelf meldde een datalek via een kwetsbaarheid in Ivanti-software, waarbij werknemersgegevens zijn ingezien. Juist de toezichthouder die organisaties controleert op privacy, werd zelf slachtoffer.
• Bij Odido werden klantgegevens buitgemaakt na een cyberaanval. De nasleep is nog steeds voelbaar: klanten worden gewaarschuwd voor mogelijk misbruik van hun gegevens.
• In de zorgsector werd melding gemaakt van datalekken bij mondzorgpraktijken. En bij Flickr dook opnieuw discussie op over beveiliging en gegevensverwerking.
• Ook gemeenten blijven niet buiten schot. Zo lekte de gemeente Rheden per ongeluk een BSN-nummer via een Woo-verzoek. Een administratieve fout met grote gevolgen.

En wie kijkt naar recente meldingen ziet nog meer: ransomware bij organisaties, gehackte accounts via leveranciers, onbedoeld gedeelde e-mailadressen.

De conclusie is: Het gebeurt overal, niet alleen bij grote techbedrijven of multinationals. Zelfs de Autoriteit Persoonsgegevens zelf….

Het onderschatte risico: je leverancier

Wat veel organisaties vergeten: een datalek ontstaat lang niet altijd binnen je eigen muren. De AP werd geraakt via software van een externe leverancier. Bij veel ransomware-aanvallen blijkt een IT-dienstverlener het toegangspunt. Ook e-mailmarketingtools, boekhoudpakketten of cloudopslag kunnen een zwakke schakel zijn.

Dat betekent dat jouw risico niet stopt bij je eigen beveiliging. Als jij persoonsgegevens laat verwerken door een externe partij (en dat doet vrijwel iedere organisatie) dan ben jij als verwerkingsverantwoordelijke nog steeds verantwoordelijk. En daar komt de verwerkersovereenkomst om de hoek kijken.

De verwerkersovereenkomst: geen formaliteit

Een verwerkersovereenkomst is geen document “voor in de map”. Het is de juridische basis waarop je afspraken maakt over:

• beveiligingsmaatregelen
• meldplicht bij datalekken
• subverwerkers
• aansprakelijkheid
• verwijdering of teruglevering van gegevens

Maar een handtekening alleen is niet genoeg. De echte vraag is:

• Weet je welke leveranciers toegang hebben tot persoonsgegevens?
• Weet je waar de data wordt opgeslagen?
• Weet je wat er gebeurt als zij worden gehackt?
• Krijg je het direct te horen als er iets misgaat?

Veel organisaties denken hier pas over na als het al te laat is.

Wat betekent dit voor jouw organisatie?

Voor mkb’ers, verenigingen en stichtingen is het risico misschien minder zichtbaar, maar zeker niet kleiner. Juist kleinere organisaties:

• werken vaak met meerdere externe tools
• hebben beperkte IT-kennis in huis
• vertrouwen sterk op leveranciers
• hebben weinig capaciteit om incidenten op te vangen

En toch geldt dezelfde meldplicht bij datalekken. Dezelfde verantwoordelijkheid. Dezelfde AVG.

Drie praktische aandachtspunten

1. Breng je verwerkers in kaart
   Welke partijen verwerken persoonsgegevens voor jou? Denk verder dan alleen je IT-leverancier.
2. Controleer je verwerkersovereenkomsten
   Zijn ze actueel? Staan er duidelijke afspraken in over datalekken?
3. Weet wat je moet doen bij een incident
   Hoe beoordeel je of je moet melden bij de AP? Wie informeert betrokkenen? Wie neemt de regie?

AVG-support.nl helpt je hierbij. Doe mee aan een invulwebinar, dan kun je zelf ervaren hoe het werkt.

Lees ook: Verwerkersovereenkomst: een volledige uitleg

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

• toets je organisatie en neem noodzakelijke maatregelen
• maak gebruik van alle juridische documenten
• behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Probeer 30 dagen gratis