Wat is een datalek [SIMAC]

Kort gezegd is een datalek het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een niet-vertrouwd publiek. Wat moet je doen als een datalek zich voordoet? Voordat we daar op ingaan leggen we eerst verder uit wat een datalek precies is. 

Datalek uitgelegd

Wanneer spreek je van een data- of privcaylek? Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. En wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een ontvreemde geprinte klantenlijst evengoed een datalek vormen. Of denk aan een prijslijst die in verkeerde handen valt. Want hoewel daar niet altijd persoonsgegevens in staan, heb je wel te maken met bedrijfsgevoelige zaken die behoorlijke schade kunnen aanrichten op berokkenen.

Hoewel de termen nogal makkelijk in één adem gebruikt worden, is het belangrijk om na te gaan of je te maken hebt met een “data-lek” of een “privacylek” (persoonsgegevens). Dit zal namelijk van invloed zijn op de te nemen preventieve of repressieve technische en organisatorische maatregelen.

Een datalek hoeft dus niet per se een digitaal lekte zijn. De definitie laat dit wel zo lijken, omdat “data” nu eenmaal in het woord zit opgesloten, maar ook omdat data in het nieuws vrijwel altijd gelinkt wordt aan techbedrijven. Als je een uitgeprint patiëntendossier gebruikt als boodschappenlijstje en deze vervolgens verliest, is er net zo goed sprake van een datalek. Dat ondervond het Haga-ziekenhuis. Ook als iemand wachtwoorden en gegevens van klanten op zijn of haar bureau laat liggen is dit een potentieel datalek.

Meldplicht

Waarom is die definitie van een datalek nou zo belangrijk? Dat komt doordat ieder datalek binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Als organisatie moet je dus binnen 72 uur kunnen beoordelen of er sprake is van een datalek. Wanneer het onwaarschijnlijk is dat er een risico is voor de betrokken personen, is er geen meldplicht.

Het informeren van betrokken

Moet je bij een datalek alle betrokkenen benaderen en op de hoogte brengen? Dat ligt eraan. In de volgende situatie hoef je de betrokkenen niet te benaderen:

  • Wanneer er passende technische en organisatorische maatregelen waren genomen. Bijvoorbeeld als de gegevens versleuteld waren.
  • Als er achteraf maatregelen genomen konden worden die de risico’s wegnemen.
  • Als het informeren van de betrokken personen onevenredig veel inspanning zou kosten, dan volstaat een publicatie op uw website of in de krant.

In vrijwel alle andere gevallen moet je de betrokken personen informeren over het datalek.

Grip op de AVG-status van je organisatie

Hoe belangrijk het is om goed aan de privacywet te voldoen weten we allemaal. Maar heb jij wel genoeg overzicht om te weten hoe jouw organisatie erbij staat op het gebied van AVG? Zorg ervoor dat je in control bent, overzicht hebt en kunt samenwerken!

Met dank aan onze kennispartner Simac voor het schrijven van dit artikel

Meer informatie over onze kennispartners >>

Schrijf je in voor onze nieuwsbrief

 

Met het versturen van deze gegevens ga je akkoord met de wijze waarop wij jouw gegevens verwerken. Privacy statement