Het Europees Comité voor gegevensbescherming (EDPB) heeft nieuwe richtlijnen gepubliceerd over hoe organisaties om dienen te gaan met datalekken.In het EDPB zijn alle nationale privacytoezichthouders uit de Europese Unie verenigd. Ze werken samen bij hun toezicht op de Algemene verordening gegevensbescherming (AVG).
De toezichthouders hebben zich geconcentreerd op datalekken die in de praktijk regelmatig voorkomen. Zij adviseren om maatregelen te nemen, zodat deze datalekken niet plaatsvinden. Als voorbeelden geven zij onder meer het installeren van beveiligingsupdates, het trainen van personeel en het gebruik van encryptie. In de richtlijnen staat ook wat organisaties moeten doen wanneer er alsnog een datalek plaatsvindt, zoals het informeren van de nationale privacytoezichthouder en de personen van wie gegevens zijn gelekt.
De publicatie geeft 18 praktijkvoorbeelden. Deze voorbeelden betreffen onder meer ransomware-aanvallen, credential stuffing, datadiefstal door een voormalige medewerker, gestolen documenten, fouten bij het versturen van post of e-mails en gecompromitteerde e-mailaccounts. Tot 2 maart aanstaande is er de mogelijkheid om op de gepubliceerde richtlijnen te reageren.
Klik hier voor de nieuwe richtlijnen van het EDPB.
Bron: Informatiebeveiliging Nederland
