Hoe te communiceren met klanten na een datalek

10 apr 2024

Geen enkel systeem is onfeilbaar en datalekken zijn een realiteit, waarmee zowel grote als kleine organisaties worden geconfronteerd. Wanneer dergelijke incidenten plaatsvinden, is de manier waarop een organisatie reageert niet alleen cruciaal voor het beperken van de schade, maar ook voor het behouden of zelfs herstellen van het vertrouwen van de klant.

De Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse Uitvoeringswet AVG (UAVG) stellen duidelijke eisen aan de omgang met persoonsgegevens en de communicatie na een datalek. In dit artikel gaan we in op de essentiële elementen van communicatie na een datalek. Daarbij ligt de focus op het bieden van transparantie, het nemen van verantwoordelijkheid en het beschermen van de betrokkenen. Bovenkant formulier

Wat is een datalek?

In de AVG komt het begrip ‘datalek’ niet voor. Er wordt enkel verwezen naar het begrip ‘inbreuk in verband met persoonsgegevens. Dit is een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, wijziging en/of ongeoorloofde toegang tot persoonsgegevens. In deze blog zal het woord ‘datalek’ worden gebruikt voor dergelijke inbreuken.

Mocht uw organisatie getroffen zijn door een datalek, dan is het belangrijk om snel en zorgvuldig te handelen. Lees hier hoe u een datalek meldt bij de Autoriteit Persoonsgegevens (AP).

Betrokkenen inlichten over een datalek

Hoeft u de datalek niet te melden bij de AP omdat deze geen risico vormt voor de rechten en vrijheden van betrokkenen? Dan hoeft u de datalek ook niet aan de betrokkenen te melden. Twijfelt u of u de datalek moet melden? Bekijk dan hier de voorbeeldlijst wel/niet melden datalek van de AP.

Een betrokkene moet rechtstreeks geïnformeerd worden over de datalek. Enkel een algemeen bericht op uw website is dus niet voldoende. U kunt de betrokkenen, afhankelijk van de doelgroep en uw organisatie, het beste schriftelijk, telefonisch of per e-mail benaderen.

Neem de volgende punten mee in de communicatie naar uw cliënten:

  • Geef aan wat er is gebeurd en hoe u als organisatie heeft gereageerd op de datalek.
    • Geef aan welke stappen u heeft ondernomen om het incident onder controle te krijgen, te onderzoeken en te herstellen.
    • Geef aan dat u een melding heeft gedaan bij de Autoriteit Persoonsgegevens en dat u bijvoorbeeld ook de bevoegde wetshandhavingsinstanties heeft ingeschakeld, samen met eventuele aanbevelingen of adviezen die zij hebben gegeven.
  • Laat de betrokkenen weten welke persoonsgegevens mogelijk zijn getroffen.
    • Stel klanten ook gerust. Indien u beschikt over wachtwoorden of financiële informatie van betrokkenen terwijl u weet dat er geen kans is dat deze gedetailleerde informatie is blootgesteld, laat dit ook weten.
    • Wees echter voorzichtig met het delen van details die verdere veiligheidsrisico's kunnen creëren.
  • Geef aan wat dit betekent voor de betrokkenen.
    • Denk hierbij aan identiteitsdiefstal of financieel verlies. Ook kan er sprake zijn van schade aan de persoonlijke reputatie, afhankelijk van de aard van de gelekte gegevens.
  • Laat weten wat de betrokkenen zelf kan doen om het potentiële risico te vermijden.
    • Wijs bijvoorbeeld op de gevaren van verdachte e-mails, bijvoorbeeld met onjuiste grammatica/spelling of slordig taalgebruik. Denk hierbij ook aan mails die vragen om andere persoonsgegevens.
  • Vermeld uw contactinformatie voor verdere vragen.
    • Bied duidelijke informatie over hoe betrokkenen contact kunnen opnemen bij verdere vragen of zorgen. Dit moet een specifiek telefoonnummer of e-mailadres omvatten.
  • Toon transparantie en verantwoordelijkheid.
    • Laat zien dat uw organisatie de privacy van de betrokkenen serieus neemt en bereid is verantwoordelijkheid te nemen voor het beschermen van hun gegevens. Laat weten welke maatregelen u gaat treffen (of al heeft getroffen) om de risico’s en schade te beperken. Mocht u hierover extern advies inwinnen, deel dit dan ook.

Conclusie

In een tijdperk waar data centraal staat in ons dagelijks leven, is het onvermijdelijk dat organisaties op een dag te maken kunnen krijgen met een datalek. Hoe onwelkom zo'n incident ook is, het biedt tevens een kans om te laten zien hoeveel waarde uw organisatie hecht aan verantwoordelijkheid, transparantie en de bescherming van persoonlijke gegevens.

De sleutel tot het effectief navigeren door de nasleep van een datalek ligt in de bereidheid om snel te handelen, open te communiceren over wat er is gebeurd, en concreet aan te geven welke stappen er zijn ondernomen om de schade te beperken en soortgelijke incidenten in de toekomst te voorkomen. Door betrokkenen direct en empathisch te benaderen, herstelt u niet alleen hun vertrouwen maar versterkt u ook uw reputatie als een organisatie die zijn verantwoordelijkheden serieus neemt.

Heeft u vragen over een datalek? Of wil u extern advies inwinnen over wat te doen? Neem gerust contact op met een van onze medewerkers.

Jody Esveldt 1