Omgaan met datalekken

GDPR in de praktijk: naleving en boetes

Mamnoon Hadi

Head of Analytics & Insights at Readdle

Casus: Marriott schond de AVG

Ontdekking van het lek: in september 2018 ontdekte Marriott International dat er sinds 2014 ongeautoriseerde toegang was tot de Starwood-reserveringsdatabase

Gecompromitteerde data: persoonlijke gegevens van ca. 500 miljoen gasten lagen bloot, waaronder namen, adressen, telefoonnummers, e-mail, paspoortnummers, geboortedata, geslacht en betaalkaartgegevens

Vertraagde melding: Marriott meldde het niet binnen 72 uur aan de Information Commissioner's Office (ICO), zoals vereist door de AVG. Deze vertraging leidde tot strenge controle en een forse boete

¹ ico.org.uk

Artikel 33: Melding aan toezichthouder

Kernvereiste:
- Organisaties moeten de toezichthouder onverwijld en binnen 72 uur na bekendwording van een datalek informeren
Te verstrekken informatie:
- Aard van het lek: wat er gebeurde en hoe het is ontdekt
- Categorieën betrokkenen (bijv. klanten, medewerkers)
- Soorten persoonsgegevens getroffen
- Mogelijke gevolgen
- Genomen/geplande maatregelen: stappen om het lek te beperken en herhaling te voorkomen

Artikel 34: Communicatie aan betrokkenen

Wanneer melding aan betrokkenen nodig is:
- Als het lek waarschijnlijk een hoog risico oplevert voor rechten en vrijheden, moeten betrokkenen onverwijld worden geïnformeerd
Inhoud van de melding:
- Aard van het lek: een duidelijke uitleg in gewone taal
- Mogelijke gevolgen: bijv. fraude, identiteitsdiefstal
- Stappen die de organisatie heeft genomen om het lek in te dammen
- Advies voor betrokkenen: acties die zij moeten nemen (bijv. wachtwoorden wijzigen, bankrekening controleren)
- Contactgegevens: een aangewezen contactpunt voor hulp

Casus: impact – Marriott-overtreding

Financiële boete:

In oktober 2020 legde de Britse ICO Marriott International een boete van £18,4 miljoen op

Reputatieschade:

Dergelijke lekken schaden de reputatie; bovendien vergroot het niet naleven van AVG-procedures het vertrouwens- en merkschade-effect

Operationele impact en kosten:

Marriott maakte bijna $30 miljoen aan herstelkosten, incl. onderzoek, melding aan klanten, een jaar toegang tot beveiligingssoftware en een internationaal callcenter

Best practices voor datalekbeheer

Implementeer een sterk incidentresponsplan: ontwikkel plannen voor snel handelen bij datalekken

Train medewerkers: leer hen gegevensbescherming en meldprocedures

Houd communicatielijnen duidelijk: communiceer tijdig en transparant met toezichthouders en betrokkenen

Evalueer beveiliging regelmatig: beoordeel en verbeter continu de maatregelen

Oorzaakanalyse en documentatie: identificeer kernoorzaken en houd gedetailleerde dossiers bij

Laten we oefenen!

GDPR in de praktijk: naleving en boetes