Wat is een datalek?
De term ‘datalek’ wordt in de Algemene verordening gegevensbescherming (AVG) niet gebruikt. De AVG spreekt in plaats daarvan van een ‘inbreuk in verband met persoonsgegevens’. Hiervan is sprake bij:
‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.’
Op basis van deze definitie kan er sprake zijn van een datalek als:
- Persoonsgegevens niet meer beschikbaar zijn omdat zij per ongeluk zijn vernietigd of omdat de toegang tot persoonsgegevens verloren is gegaan.
- Derden persoonsgegevens in handen hebben gekregen of toegang tot persoonsgegevens hebben gekregen, zonder dat dit de bedoeling was.
- Persoonsgegevens zijn gewijzigd zonder dat dit de bedoeling was.
Stappenplan datalekken – download kosteloos
De kans is groot dat uw organisatie een keer te maken krijgt met een datalek. In het geval van een datalek kan er in korte tijd veel op u afkomen. Door snel in actie te komen kunt u eventuele negatieve gevolgen voor de betrokkenen personen beperken. Ook kunt u daarmee imagoschade voorkomen. Met het stappenplan weet u precies wat u bij een datalek moet doen.
Voorbeelden datalek
Bekende voorbeelden van een datalek zijn het verlies of de diefstal van een gegevensdrager (USB-stick, laptop of mobiele telefoon) met daarop persoonsgegevens. Maar ook bij de volgende voorbeelden spreken we van een datalek:
- De besmetting van een pc, systeem of server met ransomware, waardoor gegevens worden versleuteld en u geen toegang meer hebt tot de door u verwerkte persoonsgegevens.
- Een hack waarbij persoonsgegevens zijn buitgemaakt.
- Het versturen van een e-mail met persoonsgegevens aan een verkeerd geadresseerde.
- Het versturen van een e-mail aan meerdere ontvangers, waarbij alle geadresseerden in het ‘Aan’- of ‘CC’-veld zijn opgenomen in plaats van in het ‘BCC’-veld.
- Het per ongeluk wissen van een bestand met persoonsgegevens, waardoor u er geen toegang meer toe hebt.
- Het telefonisch doorgeven van persoonsgegevens aan de verkeerde klant.
- Een brand, waarbij persoonsgegevens verloren gaan.
- Het laten slingeren of niet op de juiste wijze vernietigen van papieren met persoonsgegevenss
Wat te doen bij een datalek?
Als er binnen uw organisatie een datalek heeft plaatsgevonden, heeft u als ‘verwerkingsverantwoordelijke’ op grond van de AVG verschillende verplichtingen:
- U moet de schade van het datalek zoveel mogelijk beperken. Dat betekent dat u als dat mogelijk is het datalek moet verhelpen en anders maatregelen moet nemen om de schade en nadelige gevolgen voor de betrokkenen te beperken.
- Op grond van de AVG bent u verplicht een datalekkenregister (ook wel incidentenregister genoemd) aan te leggen. In dit register moet u ieder datalek vastleggen, ook als u het datalek niet aan de Autoriteit Persoonsgegevens (AP) hoeft te melden.
- Als er sprake is van een ernstig datalek, moet u het uiterlijk 72 uur nadat u het heeft ontdekt melden aan de AP. Hierbij geldt: melden, behalve als het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Om u bij deze afweging te helpen heeft de AP op haar website verschillende hulpmiddelen opgenomen. Als duidelijk is dat u het datalek moet melden, kan dat online, via het Meldloket datalekken. Heeft u langer nodig om te onderzoeken of er sprake is van een ernstig datalek? Stel de melding dan niet uit. U heeft namelijk ook de mogelijkheid om binnen 72 uur een zogenaamde ‘pro forma melding’ (een voorlopige melding) te maken, waarna u langer de tijd krijgt om het datalek te onderzoeken. Als de resultaten van dat onderzoek bekend zijn, kunt u een vervolgmelding doen.
- Levert het datalek ook een hoog risico op voor de personen van wie de persoonsgegevens zijn gelekt? Dan moet u het datalek ook aan hen melden.
Meldt u een datalek niet op tijd? Dan loopt u het risico op een hoge boete. De AP mag in dit soort gevallen namelijk boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.
Advocaat datalekken
Het team Privacy & AVG van Nysingh is thuis in de wet- regelgeving rond het melden van datalekken. Wij staan zowel zorg- en onderwijsinstellingen als overheden en ondernemingen bij.
U kunt bij ons terecht met al uw vragen over uw databeschermingsbeleid en het protocol datalekken. En vraagt u zich af of in een specifieke situatie sprake is van een datalek waarvoor een meldingsplicht geldt? Ook dan kunt u contact opnemen met onze specialisten. Wij beantwoorden uw vragen snel en voorzien u graag van praktisch advies.