Wat is een datalek en wat moet ik wanneer doen?

Datalek

Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het moet dus gaan om een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn niet beschermd geweest, mogelijk verloren of onrechtmatig verwerkt. Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.

 

Definitie datalek

In de AVG is de definitie van datalekken niet opgenomen, er wordt gesproken over inbreuk in verband met persoonsgegevens. De Autoriteit Persoonsgegevens (AP) heeft geprobeerd dit duidelijker te omschrijven.

Bij een datalek gaat het om:

  • onbedoelde openbaring van of toegang tot persoonsgegevens; of

  • vernietiging, wijziging, verlies of vrijkomen van persoonsgegevens.

Bij een datalek gaat dus niet alleen om het ‘lekken’ van gegevens, maar ook andere onbedoelde onrechtmatige verwerkingen.

Een datalek, wat nu?

Sommige datalekken zijn zo klein dat dit voor (bijna) geen schade zorgt. Andere datalekken daarentegen, hebben soms grote impact op veel mensen. Organisaties zijn verplicht om de schade zoveel mogelijk te beperken zodra zij op de hoogte zijn van het datalek. In sommige gevallen moeten de betrokkenen van een datalek (de mensen waarvan de persoonsgegevens zijn gelekt) van het datalek op de hoogte worden gesteld.

  

Registratieplicht datalekken

De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken (groot of klein) moeten worden gemeld en gedocumenteerd in een datalekregister.

Meldplicht datalekken

Ernstige datalekken moeten binnen 72 uur gemeld worden bij het Meldloket van de AP. Melden is verplicht wanneer het datalek een risico vormt voor de rechten en vrijheden van de betrokkenen (voor verdere uitleg, bekijk de guidelines meldplicht datalekken).

 

Boetes en maatregelen door Autoriteit Persoonsgegevens

Wanneer een ernstig datalek grote schade of impact heeft, kan de AP maatregelen en/of boetes opleggen. Denk hierbij aan het versterken van de beveiligingsmaatregelen. Daarnaast gaat de AP achterhalen hoe het datalek is ontstaan en of het datalek voorkomen had kunnen worden door de AVG na te leven. De AVG verplicht namelijk dat organisaties passende maatregelen nemen voor het beschermen van persoonsgegevens. Wanneer dit niet het geval is, mag de AP boetes opleggen.

Bron: privacyzeker.nl

#A2Scommunity

Hirschel HesselAim2secureFeb2020, wet-en-regelgeving, security-incidenten, management, risico-beheersing