Er zijn grote parallellen tussen de impact van datalekken en die van ernstige verstoringen van de bedrijfscontinuïteit. In beide gevallen kan een organisatie, door gebrek aan vertrouwen of grote financiële impact, onderuit gaan. In beide gevallen moeten alle betrokkenen alert zijn op het tijdig herkennen van een onveilige situatie en voorbereidingen treffen voor als het zover is. En, helaas, in beide gevallen is de reactie van veel organisaties vaak identiek: men stelt een procedure op, men belegt het doen van de melding bij een medewerker en gaat verder tot de orde van de dag.
In de tweede helft van 2015 zijn veel organisaties gestart met de voorbereiding op de Wet Meldplicht Datalekken. Die voorbereiding neemt verschillende vormen aan, van het sec opstellen van een meldprocedure tot aan het nauwkeurig vastleggen van alle persoonsgegevens die de organisatie opgeslagen heeft. Dit zijn absoluut nuttige acties: een procedure geeft houvast bij het handelen en inzicht in de aanwezige persoonsgegevens is onmisbaar voor een snelle impactanalyse. Toch ben ik er persoonlijk niet gerust op, ik zie in veel organisaties een sterke focus op het doen van een melding aan de Autoriteit Persoonsgegevens (AP). Maar is men daarmee ook klaar voor het effectief beheersen van een datalek?
Een ernstig datalek kan grote consequenties hebben voor een organisatie. Niet alleen is de beveiliging van persoonsgegevens gecompromitteerd, maar ook de reputatie van een organisatie kan een flinke deuk oplopen. Verstoring van het bedrijfsproces, resulterende mogelijke financiële schade, reputatieschade, juridische claims… Daar helpt die melding aan de APG niet tegen. In het ergste geval komt er nog een boete bovenop.
De Nationale Privacy Benchmark die eind 2015 door VKA gepubliceerd is, geeft aan dat 94% van de organisaties zijn meldplicht datalekken protocol nog niet heeft getoetst door middel van een oefening. De relatie tussen een datalek en crisisbeheersing en –communicatie is dus blijkbaar nog niet voldoende gelegd. Mijn advies is dan ook: oefen een scenario waarin een datalek centraal staat! Toets of de procedure werkt, zijn alle betrokkenen er in opgenomen, is het duidelijk hoe de analyses van oorzaak en impact uitgevoerd moeten worden, is er een duidelijke communicatiestrategie voorhanden? Het sterkste middel hiervoor is een crisisoefening. Kennis opdoen in het moment, bewustwording creëren, verdere verfijning aanbrenging in bestaande plannen en ideeën, dit alles in 1 à 2 uur.
Wilt u ook voorbereid zijn voor een datalek? VKA kan u hierbij helpen met advies, interne voorlichting/training en het begeleiden van oefeningen.
En die melding aan de AP? Gewoon doen binnen 72 uur, vooral niet vergeten!
Lees hier meer over Privacy.