Wat is een datalek?

Kort gezegd is een datalek het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een niet-vertrouwd publiek. Hieronder leggen wij verder uit wat een datalek is en wat je moet doen als het zich voordoet.

Datalek uitgelegd

Wanneer spreek je nu van een datalek? We spreken van een datalek of privacylek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook spreken we van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een ontvreemde geprinte klantenlijst evengoed een datalek vormen. Of denk aan een prijslijst die in verkeerde handen valt. Want hoewel daar niet altijd persoonsgegevens in staan, heb je wel te maken met bedrijfsgevoelige zaken die behoorlijke schade kunnen aanrichten op berokkenen. Hoewel de termen nogal makkelijk in één adem gebruikt worden, is het belangrijk om na te gaan of je te maken hebt met een “data-lek” of een “privacylek” (persoonsgegevens). Dit zal namelijk van invloed zijn op de te nemen preventieve of repressieve technische en organisatorische maatregelen.

Het voorgaande geeft aan dat een datalek niet per se een digitaal lek hoeft te zijn. De definitie laat dit wel zo lijken, omdat "data" nu eenmaal in het woord zit opgesloten, maar ook omdat data in het nieuws vrijwel altijd gelinkt wordt aan techbedrijven. Als je een uitgeprint patiëntendossier gebruikt als boodschappenlijstje en deze vervolgens verliest, is er net zo goed sprake van een datalek (Haga-ziekenhuis). Ook als iemand wachtwoorden en gegevens van klanten op zijn of haar bureau laat liggen is dit een potentieel datalek.

Meldplicht

Waarom is die definitie van een datalek nou zo belangrijk? Dat komt doordat ieder datalek binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Als organisatie moet je dus binnen 72 uur kunnen beoordelen of er sprake is van een datalek. Wanneer het onwaarschijnlijk is dat er een risico is voor de betrokken personen, is er geen meldplicht.

Het informeren van betrokken

Moet je bij een datalek alle betrokkenen benaderen en op de hoogte brengen? Dat ligt eraan. In de volgende situatie hoef je de betrokkenen niet te benaderen: 

  • Wanneer er passende technische en organisatorische maatregelen waren genomen. Bijvoorbeeld als de gegevens versleuteld waren.
  • Als er achteraf maatregelen genomen konden worden die de risico's wegnemen.
  • Als het informeren van de betrokken personen onevenredig veel inspanning zou kosten, dan volstaat een publicatie op uw website of in de krant.

In vrijwel alle andere gevallen moet je de betrokken personen informeren over het datalek.

Grip op de AVG-status van je organisatie

Hoe belangrijk het is om goed aan de privacywet te voldoen weten we allemaal. Maar heb jij wel genoeg overzicht om te weten hoe jouw organisatie erbij staat op het gebied van AVG? Met PIMS hou je niet alleen je verwerkingsregister op orde, ook heb je voortaan je eigen datalekkenregister zodat je in control bent, overzicht hebt en kunt samenwerken!


Even voorstellen

Hi, ik ben Alexander en ik help je graag verder om PIMS beter te leren kennen. Voor al je vragen kun je bellen naar ons kantoor of klik op onderstaande button.

Advies aanvragen

Contact opnemen

Contact