Dit schrijft de EDPB in zijn nieuwe Richtlijn over de meldplicht van datalekken, die een aanvulling vormt op de eerdere richtlijn van zijn voorganger, de WP29.
In de nieuwe Richtlijn heeft de EDPB de ervaring die tot nu toe is opgedaan met het melden van datalekken verzameld en vertaald naar praktijkvoorbeelden. Daarbij geeft de EDPB meer uitleg over hoe te handelen bij een datalek.
Incident response plannen als onderdeel van technische en organisatorische maatregelen
Daarnaast besteedt de EDPB aandacht aan de te treffen organisatorische en technische maatregelen ter preventie én beperking van de gevolgen van cyberincidenten, waarbij specifiek wordt ingegaan op ransomware.
De EDPB benoemt daarbij meermaals het grote belang van incident response plannen:
“Every controller should have plans, procedures in place for handling eventual data breaches. Organizations should have clear reporting lines and persons responsible for certain aspect of the recovery process.” (pagina 6)
Deze plannen dienen niet alleen worden opgesteld, maar ook diepgaand worden getoetst:
“Establish a Computer Security Incident Response Team (CSIRT) or Computer Emergency Response Team (CERT) within the organization, or join a collective CSIRT/CERT. Create an Incident Response Plan, Disaster Recovery Plan and a Business Continuity Plan, and make sure that these are thoroughly tested.” (pagina 14)
Getraind personeel
Daarnaast wijst de EDPB op de grote meerwaarde van getraind personeel. Medewerkers moeten weten hoe ze een datalek kunnen herkennen en hoe ze vervolgens moeten handelen. Dit proces moet regelmatig worden herhaald, waarbij bovendien aandacht moet worden besteed aan de laatste ontwikkelingen op het gebied van cyberaanvallen en andere beveiligingsincidenten, aldus de EDPB. Vanuit het oogpunt van accountability, een belangrijk beginsel in de AVG, zouden verwerkingsverantwoordelijken een Handboek kunnen opstellen, waarin het datalek protocol van het bedrijf kan worden neergelegd. Op die manier kunnen datalekken sneller en beter worden opgepakt en afgehandeld (zie pagina 6 van de Richtlijn).
Cyberweerbaarheid
In deze nieuwe Richtlijn benadrukt de EDPB in sterkere mate het belang van preventie en van een snelle response. In de vorige Richtlijn werden verwerkingsverantwoordelijken immers slechts ‘aangemoedigd’ om vooraf plannen en procedures op te zetten. In de nieuwe Richtlijn lijkt de EDPB dit meer tegen de achtergrond van accountability te zien.
Deze nadruk op het hebben van incident response plannen is wat mij betreft terecht. Een snelle en adequate reactie op een cyberincident kan heel wat leed besparen: het versterkt kortom de cyberweerbaarheid van uw organisatie. In een eerdere blog gaf ik al een aantal tips over ‘digitale ontruimingsplannen’.
Vragen?
Heeft u vragen over het opstellen van incident response plannen of de wijze waarop met cyberincidenten moet worden omgegaan? Neem dan contact op met Nynke Brouwer.
