De European Data Protection Board (EDPB) heeft de consultatieversie van nieuwe guidelines gepubliceerd over meldingen bij datalekken.

Deze guidelines helpen organisaties bij de maatregelen die ze moeten nemen bij een datalek.

Categorie

In de guidelines staat een lijst met veel voorkomende soorten datalekken. Per categorie datalek staat aangegeven hoe organisaties de risico’s het best kunnen beoordelen. Verder staat er aangegeven wanneer een organisatie de toezichthouder en/of betrokken personen op de hoogte moet brengen.

 

De categorieën zijn onderverdeeld in:

  • ransomware;
  • aanvallen op websites om gegevens te onttrekken;
  • een interne bron die gegevens per ongeluk of expres onttrekt;
  • verloren of gestolen apparaten of papieren documenten;
  • verkeerd geadresseerde e-mails;
  • overige zaken.

Ransomware

Eén van de categorieën in de guidelines is een datalek bij een ransomware-aanval, ook wel ‘gijzelsoftware’ genoemd. Bij een dergelijke aanval blokkeren of versleutelen cybercriminelen computersystemen en geven deze pas weer vrij nadat er losgeld is betaald. Recentelijk kwam in het nieuws dat cybercriminelen de volledige dienstverlening van de gemeente Hof van Twente hadden gegijzeld. Er waren helaas geen back-ups van de systemen gemaakt.

 

Op grond van de in de guidelines genoemde voorbeelden kunnen organisaties van tevoren een aantal specifieke maatregelen nemen om een dergelijke ransomware-aanval te voorkomen en om de gevolgen van een aanval te beperken. Dit kan bijvoorbeeld door datasystemen en netwerken te isoleren, om zo het risico op verspreiding van malware (schadelijke software) tegen te gaan. Daarnaast wordt in de guidelines aangeraden om werknemers te trainen in het herkennen van malware. Ook kan het beschikken over een gescheiden back-up helpen om de gevolgen van een ransomware-aanval zoveel mogelijk te beperken.

Consultatie

De nieuwe guidelines zijn nog niet definitief. Betrokken partijen kunnen tot 2 maart 2021 commentaar leveren. Na de consultatie stelt de EDPB de definitieve guidelines vast. De consultatieversie van de guidelines is hier te vinden.

Hulp bij beoordelen van een datalek?

Hebt u als organisatie een datalek of wilt u meer weten over vraagstukken op het gebied van privacy, neem dan gerust contact op met Carola van Andel, E: carola.vanandel@nysingh.nl | T: 088 752 02 37 | M: 06 13 00 45 93 of een van de andere advocaten binnen ons privacyteam.

Alle blogs

Auteurs

Carola van Andel

Advocaat, Partner
Bekijk profiel
Contactgegevens Sluit gegevens Profiel

Expertises

Sectoren

Thema’s