Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het moet dus gaan om een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn niet beschermd geweest, mogelijk verloren of onrechtmatig verwerkt. Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.
In het onderstaande filmpje worden datalekken verder uitgelegd en gevisualiseerd.
Datalekken https://www.youtube.com/watch?v=89jldoPCEu0
Een datalek, wat nu?
Sommige datalekken zijn zo klein dat dit voor (bijna) geen schade zorgt. Andere datalekken daarentegen, hebben soms grote impact op veel mensen. Organisaties zijn verplicht om de schade zoveel mogelijk te beperken zodra zij op de hoogte zijn van het datalek. In sommige gevallen moeten de betrokkenen van een datalek (de mensen waarvan de persoonsgegevens zijn gelekt) van het datalek op de hoogte worden gesteld.
Registratieplicht datalekken
De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken (groot of klein) moeten worden gedocumenteerd in een datalekregister.
Meldplicht datalekken
Ernstige datalekken moeten binnen 72 uur gemeld worden bij het Meldloket van de AP. Melden is verplicht wanneer het datalek een risico vormt voor de rechten en vrijheden van de betrokkenen (voor verdere uitleg, bekijk de guidelines meldplicht datalekken).
Boetes en maatregelen door Autoriteit Persoonsgegevens
Wanneer een ernstig datalek grote schade of impact heeft, kan de AP maatregelen en/of boetes opleggen. Denk hierbij aan het versterken van de beveiligingsmaatregelen. Daarnaast gaat de AP achterhalen hoe het datalek is ontstaan en of het datalek voorkomen had kunnen worden door de AVG na te leven. De AVG verplicht namelijk dat organisaties passende maatregelen nemen voor het beschermen van persoonsgegevens. Wanneer dit niet het geval is, mag de AP boetes opleggen.
Stappenplan bij het optreden van een datalek
Let op: Klik op de onderstreepte zinsdelen voor verdere uitleg
1. Zorg voor overzicht op de situatie.
2. Neem onmiddellijk maatregelen om de schade van het datalek te beperken. En schat de risico's in.
3. Bepaal of je het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens (AP). Zo ja, doe dit onmiddellijk.
4. Bepaal of je het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
5. Registreer het datalek in jouw datalekregister.
'Voorkomen is altijd beter dan genezen'
Tips datalekken
1. Verwijder gevoelige gegevens die je niet meer nodig hebt.
2. Even werken op het netwerk van dat leuke koffiezaakje of een gast netwerk van een klant? Liever niet. Openbare netwerken zijn niet veilig en bieden een opening voor onbevoegden om toegang te krijgen tot jouw apparaat en gegevens.
3. Het versleutelen van je e-mail zorgt ervoor dat je kan voorkomen dat privacygevoelige gegevens met de verkeerde mensen worden gedeeld.
4. Installeer nooit eigen software. laat dit over aan de beheerder binnen de organisatie. De kans is namelijk groot dat hierbij ook onveilige software geïnstalleerd kan worden.
5. Beperk het aantal plekken waar je jouw gevoelige gegevens opslaat (zoals bijvoorbeeld wachtwoorden).
6. Neem deze trainingstool goed door om datalekken in de toekomst te voorkomen.