Wat is een datalek?
Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het moet dus gaan om een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn niet beschermd geweest, mogelijk verloren of onrechtmatig verwerkt. Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.
Vraag hier een gratis AVG check aan!
Met deze check krijg je alles te hore over de AVG, privacy en cybersecurity voor je bedrijf
Definitie datalek
In de AVG is de definitie van datalekken niet opgenomen, er wordt gesproken over inbreuk in verband met persoonsgegevens. De Autoriteit Persoonsgegevens (AP) heeft geprobeerd dit duidelijker te omschrijven.
Bij een datalek gaat het om:
- onbedoelde openbaring van of toegang tot persoonsgegevens; of
- vernietiging, wijziging, verlies of vrijkomen van persoonsgegevens.
Bij een datalek gaat dus niet alleen om het ‘lekken’ van gegevens, maar ook andere onbedoelde onrechtmatige verwerkingen.
Is jouw bedrijf al AVG-proof?
Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.
Een datalek, wat nu?
Sommige datalekken zijn zo klein dat dit voor (bijna) geen schade zorgt. Andere datalekken daarentegen, hebben soms grote impact op veel mensen. Organisaties zijn verplicht om de schade zoveel mogelijk te beperken zodra zij op de hoogte zijn van het datalek. In sommige gevallen moeten de betrokkenen van een datalek (de mensen waarvan de persoonsgegevens zijn gelekt) van het datalek op de hoogte worden gesteld.
Registratieplicht datalekken
De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken (groot of klein) moeten worden gedocumenteerd in een datalekregister.
Meldplicht datalekken
Ernstige datalekken moeten binnen 72 uur gemeld worden bij het Meldloket van de AP. Melden is verplicht wanneer het datalek een risico vormt voor de rechten en vrijheden van de betrokkenen (voor verdere uitleg, bekijk de guidelines meldplicht datalekken).
Boetes en maatregelen door Autoriteit Persoonsgegevens
Wanneer een ernstig datalek grote schade of impact heeft, kan de AP maatregelen en/of boetes opleggen. Denk hierbij aan het versterken van de beveiligingsmaatregelen. Daarnaast gaat de AP achterhalen hoe het datalek is ontstaan en of het datalek voorkomen had kunnen worden door de AVG na te leven. De AVG verplicht namelijk dat organisaties passende maatregelen nemen voor het beschermen van persoonsgegevens. Wanneer dit niet het geval is, mag de AP boetes opleggen.
Hulp bij privacy
Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.
Hoe werkt Privacy Zeker? Bekijk de video.