Wat is een datalek?

Bij een datalek wordt vaak aan een hacker gedacht, iemand van buitenaf die jouw documenten of klantgegevens wil stelen. Ook wordt er vaak het voorbeeld van een vergeten laptop of usb-stick gegeven. Maar wat zijn nu andere voorbeelden van datalekken die wij in de praktijk tegenkomen?

Je hebt een datalek bij een inbreuk op de beveiliging van de persoonsgegevens. Het gaat dan om onbedoelde toegang tot de gegevens, vernietiging, wijziging of vrijkomen van persoonsgegevens. Het moet gaan om een beveiligingsincident. Voorbeelden hiervan zijn een hack (inbraak in een databestand), maar ook een gestolen of kwijtgeraakte laptop, telefoon of usb-stick. Ook bijvoorbeeld een brand in het datacentrum is een datalek. Vanaf 1 januari 2016 geldt in dit soort gevallen de meldplicht datalekken. In de AVG is eenzelfde soort meldplicht opgenomen met nog meer verplichtingen.

Aandachtspunten

1. Stel interne procedures op hoe je omgaat met persoonsgegevens en vergeet ook niet een procedure af te spreken voor hoe je omgaat met een datalek. Wie is verantwoordelijk voor de melding, met wie overleg je intern en extern en hoe ga je als dat nodig is de mensen informeren waarvan de gegevens bij het datalek betrokken zijn.
2. Heb je een verwerkersovereenkomst met een externe partij die voor jou persoonsgegevens verwerkt? Neem in de verwerkersovereenkomst op hoe je omgaat met een datalek.
3. Neem niet alleen digitale beveiligingsmaatregelen maar bedenk ook hoe een onbevoegd persoon mogelijk op jouw kantoor bij persoonsgegevens kan en zo mogelijk een datalek kan veroorzaken.
4. Maak je met alle genomen maatregelen toch een datalek mee, bekijk dan goed wat je ervan kunt leren en neem maatregelen.

Datalekprocedure

Naast de huidige verplichtingen bij datalekken, o.a. een procedure hoe te handelen bij een datalek, moet je met ingang van mei 2018 ook alle datalekken en de afhandeling daarvan bijhouden. Een datalekregister is dus een must.

Meer weten? www.privacyzeker.nl