Grip op datalekken

Voorwoord 9

1 Inleiding 11

2 Wat zijn datalekken? 17
2.1 Wettelijke definitie 17
2.2 Soorten datalekken 19
2.2.1 Opzettelijke datalekken 19
2.2.2 Onopzettelijke datalekken 20
2.3 Wat voor datalekken worden er gemeld 21
2.4 Andere meldplichten 23

Help, een datalek! 27

3 Kom in actie 31
3.1 Beoordeel het signaal 31
3.2 Roep het ICT-responseteam op 33
3.3 Roep het datalekteam op 34
3.4 Informeer en escaleer 37

4 Bestrijd het datalek 41
4.1 Insluitende en schade beperkende maatregelen 41
4.2 Hoe een datalek te stoppen? 43

5 Bepaal de impact 47
5.1 Onderzoek het datalek 48
5.2 Bepaal de impact en het risico voor de betrokkenen 52
5.2.1 Bepalen van de impact van het datalek voor betrokkenen 54
5.2.2 Bepalen van het risico van het datalek voor betrokkenen 61
5.2.3 Documenteer 68
5.3 Bepaal de impact op je organisatie 69
5.3.1 Om wat voor impact kan het gaan? 69
5.3.2 Hoe groot is de impact? 71
5.3.3 Wat zijn de te verwachten kosten voor de organisatie? 72

6 Meld het datalek 77
6.1 Bepaal de meldaanpak en de herstelaanpak 77
6.1.1 Besluitvorming over melding en herstel 77
6.1.2 Wel of niet melden 79
6.1.3 Bepaal de meldaanpak 80
6.1.4 Bepaal de herstelaanpak 81
6.2 Beperk het risico voor de betrokkenen 82
6.3 Meld aan de AP 83
6.3.1 Is het wel de AP waar ik moet melden? 83
6.3.2 Hoe snel moet ik melden? 83
6.3.3 Hoe meld ik mijn datalek? 85
6.3.4 Wat gebeurt er na de melding? 89
6.4 Meld aan de betrokkenen 92
6.4.1 Hoe snel moet ik melden? 92
6.4.2 Hoe meld ik mijn datalek? 93
6.5 Meld aan overige partijen 99
6.5.1 Bestuur/Raad van Commissarissen/aandeelhouders 100
6.5.2 Verzekeraar 100
6.5.3 Medewerkers 101
6.5.4 Brancheorganisatie/ketenpartners 101
6.5.5 Media 102

7 Herstel 105
7.1 Onderzoek en verbeter de beveiliging 105
7.1.1 Onderzoek de beveiliging 105
7.1.2 Evalueer de beveiliging 106
7.1.3 Verbeter de beheersingsmaatregelen 106
7.2 Lever nazorg aan de betrokkenen 107
7.2.1 Contactpunt voor nazorg 107
7.2.2 Wat voor ondersteuning? 108
7.2.3 Terugverdienen van de klant 110
7.3 Kom op voor het organisatiebelang 110
7.3.1 Risicomanagement 110
7.3.2 Schadeclaims en boetes 111
7.3.3 Schade verhalen 111
7.3.4 Datalek door eigen medewerker 112
7.3.5 Afhandeling naar verzekeraar 112
7.3.6 Procescontinuïteit en herstel van data en proces 112
7.3.7 Herstel van vertrouwen 114

8 Datalekaanpak 117
8.1 Vermijd en voorkom datalekken 117
8.2 Blijf voorbereid op datalekken 126
8.2.1 Gedrag en cultuur 126
8.2.2 Bewustwording, opleiden, trainen en oefenen 127
8.3 Ontdek datalek en meld intern 127
8.3.1 Wijze van ontdekken 128
8.3.2 Intern melden 131
8.4 Registreer, evalueer en verbeter 133
8.4.1 Register van datalekken 133
8.4.2 Vastlegging van incidentafhandeling 133
8.4.3 Evalueer 134
8.4.4 Verbeter 135
8.5 Houd de aanpak actueel 136
8.5.1 Organisatie 136
8.5.2 Dataclassificatie en scenario's 136
8.5.3 Procedures en registratie 137
8.5.4 Afspraken met dienstverleners/ketenpartners 137
8.5.5 Datalekken voorkomen en voorbereiden op de meldplicht 137

9 Rondom datalekken 139
9.1 Organisatie en rollen 139
9.1.1 Beleidscoördinatie van de omgang met datalekken 139
9.1.2 Kernrollen 140
9.1.3 Overige rollen 144
9.1.4 Rolverdeling 146
9.2 Risicobeheersing 150
9.2.1 Strategieën 150
9.2.2 Managementsysteem 152
9.2.3 Wat kun je verzekeren? 154
9.3 Datalekken in ketens 155
9.3.1 Afspraken met de verwerker 157

Aan de slag! 161

10 Aanpak in één dag 163

11 Systematische route voor ontwikkelen aanpak 169
11.1 Beslis over een visie 171
11.2 Beslis over een aanpak 176
11.3 Implementeer 179
11.4 Blijf voorbereid en actueel 179

Bijlagen 181
Bijlage A Relevante wetsteksten 183
Bijlage B Bronnen/verder lezen 193
Bijlage C Register 195

Over de auteurs 201