Datalek

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn hierdoor verloren gegaan of onrechtmatig verwerkt. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen (werk) laptop of een inbraak in een bestand met persoonsgegevens door een hacker. Je bent verplicht een datalekregister bij te houden. Dit is standaard onderdeel van jouw Privacy Zeker abonnement.

Wat moet ik doen als er sprake is van een datalek binnen mijn organisatie?

1. Op het moment dat je onverhoopt te maken krijgt met een datalek neem je alle maatregelen die je direct kunt nemen om het datalek te stoppen. Bij een inbraak in je computersysteem neem je bijvoorbeeld contact op met de beheerder of neem je zelf maatregelen om het lek te stoppen. Is je laptop gestolen en kun je van afstand nog gegevens verwijderen, doe dit dan direct.
2. Als je onverhoopt te maken krijgt met een datalek vul je het datalekregister op jouw Privacy Zeker dashboard in.
3. De Helpdesk neemt contact met je op om het datalek te beoordelen en te bekijken of dit datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. De Helpdesk adviseert over te volgen stappen.
4. Moet je een melding doen bij de Autoriteit Persoonsgegevens, dan helpen we je bij het doen van de melding en verwerken het meldingsnummer in jouw datalekregister.
5. Wanneer je reactie van de Autoriteit Persoonsgegevens krijgt dan kijken we met je mee. We adviseren je indien nodig over de reactie van de Autoriteit Persoonsgegevens. We leggen zo nodig contact met de Autoriteit Persoonsgegevens.
6. Is de melding afgerond en is mogelijk het lek verholpen? Kijk wat je ervan kunt leren om een volgend datalek te voorkomen. Voer zo nodig veranderingen door in je processen of train je medewerkers nogmaals op het veiligheidsbeleid.

Wanneer moet ik een datalek melden?

Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens als dit datalek een groot risico vormt voor de rechten en vrijheden van de betrokkenen. Dit beoordelen we aan de hand van de guideline die de Autoriteit Persoonsgegevens samen met andere toezichthoudende autoriteiten heeft opgesteld. Hieruit komen een aantal onderdelen waarvan het risico beoordeeld moeten worden:

• aard van de inbreuk: zijn de persoonsgegevens gewist of onrechtmatig verwerkt?
• aard, gevoeligheid en omvang van de persoonsgegevens: is van duizend betrokkenen gelekt dat zij een drugsverslaving hebben of is van tien betrokkenen gelekt dat zij klant zijn van een bepaalde bank?
• gemak identificatie: is de drugsverslaving met naam en toenaam gelekt of is alleen het cliëntnummer gelekt waarmee alleen de afkickkliniek de betrokkenen kan identificeren?
• ernst van de gevolgen: is de drugsverslaving van de betrokkenen gelekt naar hun werkgevers waardoor zijn hun baan kunnen verliezen of is de verslaving gelekt naar een andere hulpverlener?
• bijzondere kenmerken persoon: is de betrokkene minderjarig?
• bijzondere kenmerken verwerkingsverantwoordelijke: is alleen de naam van de betrokkene gelekt, maar wel door de afkickkliniek?
• Aantal getroffen personen: gaat het om duizend betrokkenen of tien?

Een datalek hoef je niet te melden bij de Autoriteit Persoonsgegevens als het onwaarschijnlijk is dat de lek leidt tot een risico voor de rechten en vrijheden van de betrokkene. De bovenstaande factoren vormen de basis bij die beoordeling. Bij die afweging speelt de waarschijnlijkheid en de ernst van het risico mee, alsook de ernst van de consequenties voor de betrokkenen, de grootte van de lek en het aantal gedupeerden, de mate van identificatie die mogelijk is na de lek, et cetera.

In sommige gevallen moet je het datalek ook melden aan de persoon van wie de gegevens zijn gelekt. Je moet het lek alleen melden aan de betrokkene als je het ook moet melden aan de Autoriteit Persoonsgegevens.