Datalekken

In het huidige digitale tijdperk beschikken organisaties over steeds meer persoonsgegevens. Vrijwel iedere organisatie krijgt vroeg of laat te maken met een datalek. De Autoriteit Persoonsgegevens ontving in 2020 nog bijna 23.976 datalekmeldingen. Gemiddeld zijn dat bijna 2.000 per maand!

Weet u wat u moet doen als er een datalek plaatsvindt binnen uw organisatie?

Marit Gorissen

Advocaat

Wat is een datalek?

De term ‘datalek’ wordt in de Algemene verordening gegevensbescherming (AVG) niet gebruikt. De AVG spreekt in plaats daarvan van een ‘inbreuk in verband met persoonsgegevens’. Hiervan is sprake bij:

‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.’

 

Op basis van deze definitie kan er sprake zijn van een datalek als:

  • Persoonsgegevens niet meer beschikbaar zijn omdat zij per ongeluk zijn vernietigd of omdat de toegang tot persoonsgegevens verloren is gegaan.
  • Derden persoonsgegevens in handen hebben gekregen of toegang tot persoonsgegevens hebben gekregen, zonder dat dit de bedoeling was.
  • Persoonsgegevens zijn gewijzigd zonder dat dit de bedoeling was.

Stappenplan datalekken – download kosteloos

De kans is groot dat uw organisatie een keer te maken krijgt met een datalek. In het geval van een datalek kan er in korte tijd veel op u afkomen. Door snel in actie te komen kunt u eventuele negatieve gevolgen voor de betrokkenen personen beperken. Ook kunt u daarmee imagoschade voorkomen. Met het stappenplan weet u precies wat u bij een datalek moet doen.
Afbeelding van PDF stappenplan datalekken

 

Voorbeelden datalek

Bekende voorbeelden van een datalek zijn het verlies of de diefstal van een gegevensdrager (USB-stick, laptop of mobiele telefoon) met daarop persoonsgegevens. Maar ook bij de volgende voorbeelden spreken we van een datalek:

  • De besmetting van een pc, systeem of server met ransomware, waardoor gegevens worden versleuteld en u geen toegang meer hebt tot de door u verwerkte persoonsgegevens.
  • Een hack waarbij persoonsgegevens zijn buitgemaakt.
  • Het versturen van een e-mail met persoonsgegevens aan een verkeerd geadresseerde.
  • Het versturen van een e-mail aan meerdere ontvangers, waarbij alle geadresseerden in het ‘Aan’- of ‘CC’-veld zijn opgenomen in plaats van in het ‘BCC’-veld.
  • Het per ongeluk wissen van een bestand met persoonsgegevens, waardoor u er geen toegang meer toe hebt.
  • Het telefonisch doorgeven van persoonsgegevens aan de verkeerde klant.
  • Een brand, waarbij persoonsgegevens verloren gaan.
  • Het laten slingeren of niet op de juiste wijze vernietigen van papieren met persoonsgegevenss

 

Wat te doen bij een datalek?

Als er binnen uw organisatie een datalek heeft plaatsgevonden, heeft u als ‘verwerkingsverantwoordelijke’ op grond van de AVG verschillende verplichtingen:

  • U moet de schade van het datalek zoveel mogelijk beperken. Dat betekent dat u als dat mogelijk is het datalek moet verhelpen en anders maatregelen moet nemen om de schade en nadelige gevolgen voor de betrokkenen te beperken.
  • Op grond van de AVG bent u verplicht een datalekkenregister (ook wel incidentenregister genoemd) aan te leggen. In dit register moet u ieder datalek vastleggen, ook als u het datalek niet aan de Autoriteit Persoonsgegevens (AP) hoeft te melden.
  • Als er sprake is van een ernstig datalek, moet u het uiterlijk 72 uur nadat u het heeft ontdekt melden aan de AP. Hierbij geldt: melden, behalve als het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Om u bij deze afweging te helpen heeft de AP op haar website verschillende hulpmiddelen opgenomen. Als duidelijk is dat u het datalek moet melden, kan dat online, via het Meldloket datalekken. Heeft u langer nodig om te onderzoeken of er sprake is van een ernstig datalek? Stel de melding dan niet uit. U heeft namelijk ook de mogelijkheid om binnen 72 uur een zogenaamde ‘pro forma melding’ (een voorlopige melding) te maken, waarna u langer de tijd krijgt om het datalek te onderzoeken. Als de resultaten van dat onderzoek bekend zijn, kunt u een vervolgmelding doen.
  • Levert het datalek ook een hoog risico op voor de personen van wie de persoonsgegevens zijn gelekt? Dan moet u het datalek ook aan hen melden.

 

Meldt u een datalek niet op tijd? Dan loopt u het risico op een hoge boete. De AP mag in dit soort gevallen namelijk boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Advocaat datalekken

Het team Privacy & AVG van Nysingh is thuis in de wet- regelgeving rond het melden van datalekken. Wij staan zowel zorg- en onderwijsinstellingen als overheden en ondernemingen bij.

 

U kunt bij ons terecht met al uw vragen over uw databeschermingsbeleid en het protocol datalekken. En vraagt u zich af of in een specifieke situatie sprake is van een datalek waarvoor een meldingsplicht geldt? Ook dan kunt u contact opnemen met onze specialisten. Wij beantwoorden uw vragen snel en voorzien u graag van praktisch advies.

 

Onze specialisten

Sluiten
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors