Sinds 1 januari 2016 zijn organisaties verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. Soms moeten zij die ook communiceren aan betrokkenen. Er moet dan sprake zijn van een ‘ernstig datalek waarbij betrokkenen van wie de gegevens zijn gelekt ook ernstige hinder kunnen ondervinden in de persoonlijke levenssfeer’.
Klinkt u dat wat abstract in de oren? Dat kan kloppen; nog niet alles is uitgekristalliseerd. Duidelijk is wel dat u uw communicatie aan gedupeerden op orde moet hebben als zich een lek voordoet. En dat is nog niet altijd het geval.
Martine Middelveld en Christian le Clercq, consultants Security en Privacy bij Capgemini, richten zich op dit vraagstuk. Middelveld: ‘We verstrekken onze gegevens veelal op basis van vertrouwen. Als dat wordt geschaad door bijvoorbeeld een verloren usb-stick of een technische manco waardoor onze gegevens openbaar worden, dan kan de reputatie van een organisatie aanzienlijke schade oplopen.’
Speciale aandacht voor het veiligheidsdomein
Het vertrouwen van burgers, medewerkers of klanten staat dan ook voorop bij de meldplicht. ‘Zeker voor instellingen in het veiligheidsdomein, zoals het ministerie van Justitie, de Politie of ‘Blijf van Mijn Lijf’-huizen, is dat vertrouwen cruciaal. Je wilt niet dat een getuige opnieuw een verklaring moet afleggen omdat er een dossier is kwijtgeraakt en er geen kopie is’, vult Le Clercq aan.
Het melden van een ernstig datalek is daarom verplicht gesteld, waarbij binnen 72 uur de Autoriteit adequaat op de hoogte moet worden gesteld van het voorval en mogelijk ook alle betrokkenen.
Afwegingen bij communicatie
Binnen het veiligheidsdomein vraagt dat echter niet alleen om adequaat op te treden maar ook om extreme zorgvuldigheid. Middelveld: ‘Wat vertel je wel en wat niet? Maar ook: breng je de betrokkenen überhaupt wel op de hoogte?’
‘Wanneer kinderen melding hebben gemaakt van mishandeling door hun ouders is het niet aan te raden die ouders op de hoogte te stellen van een datalek. Per incident zal er dus een afweging moeten zijn gemaakt aan wie, wat wordt gemeld.’
Strategie aan de basis
Communicatie rondom datalekken vereist dan ook in eerste instantie een duidelijke strategie. Le Clercq: ‘Je moet vastleggen in welke gevallen je communiceert, aan wie, met welke boodschap en via welke kanalen je dat vervolgens doet.’
‘Vanuit de wetgever zijn er ook richtlijnen waaraan de inhoud van je verhaal moet voldoen, bijvoorbeeld wat de maatregelen zijn die mensen kunnen nemen. Deze uitgangspunten vormen de basis. Verder is het van belang vooraf te bedenken wie communiceert.’
Doe het nu!
De Functionaris Gegevensbescherming moet zorgen voor een goede afhandeling van een datalek en de melding. Niet alle gevallen zal deze persoon ook degene zijn die communiceert met de betrokkenen. Bij datalekken van personeelsgegevens zal bijvoorbeeld een HR-afdeling of Interne Communicatie het voortouw nemen, bij externe belangen is de woordvoerder vaak de aangewezen persoon.
Middelveld: ‘Hoe je het ook insteekt qua strategie en protocollen, de boodschap is: stel ze nu al op. Als je wordt overvallen door een datalek, dan kun je in ieder geval tijdig en zorgvuldig communiceren. Zo beperk je een verdere vertrouwensbreuk met je cliënten, burgers of klanten.’
Trends in Veiligheid
Mocht u meer willen weten over hoe veilig Nederlanders zich online wanen of welk gevoel we hebben bij onze fysieke veiligheid op straat? De belangrijkste inzichten en resultaten zijn gebundeld in het onderzoeksrapport ‘Trends in Veiligheid 2016’ van Capgemini. Een exemplaar is te bestellen via deze link. Rapporten uit de voorgaande jaren en een sneak preview zijn te vinden op de website: trendsinveiligheid.nl.
