Wat is datalekken
Volgens de Autoriteit Persoonsgegevens gaat het bij een datalek om de toegang tot persoonsgegevens of vernietiging, wijziging of vrijkomen van gegevens zonder dat de bedoeling is van de betreffende organisatie. Er is sprake van een datalek als de ingestelde beveiligingsmaatregelen worden doorbroken waardoor persoonsgegevens zijn blootgesteld aan verlies of een onrechtmatige verwerking.
Voorbeelden hiervan zijn:
• verlies of diefstal van een USB stick of laptop;
• inbraak door een hacker;
• e-mailbericht dat bij een ander dan de rechtmatige afzender terechtkomt, verkeerd e-mailadres ingevoerd;
• post dat bij een ander dan de rechtmatige afzender terechtkomt (post verkeerd ingepakt);
• verlies van een mobiele telefoon (met zakelijk e-mail);
• het mee naar huis nemen van documenten, en die documenten raken zoek/komen op ‘straat’;
• verlies of diefstal van privé laptop/computer waarop zakelijke documenten opgeslagen staan.
Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens maar ook onrechtmatige verwerking van gegevens.
Op wie is de meldplicht datalekken van toepassing?
Wie persoonsgegevens verwerkt, is op basis van de Wet bescherming persoonsgegevens verplicht om beveiligingsmaatregelen te treffen tegen ongeoorloofd gebruik. Veel bedrijven verwerken in grote mate persoonsgegevens en is verplicht bepaalde inbreuken op die beveiliging te melden aan de Autoriteit persoonsgegevens.
Hoe ziet de meldingsprocedure eruit?
Iedere medewerker kan geconfronteerd worden met een datalek. Van belang is dat je dit direct meldt bij de leidinggevende.
De melding aan de Autoriteit Persoonsgegevens omvat de volgende aspecten:
1) dat een inbreuk heeft plaatsgevonden;
2) aard van de inbreuk;
3) contactgegevens van een contactpersoon bij de verantwoordelijke of de Autoriteit Persoonsgegevens;
4) aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
5) beschrijving van de geconstateerde en de vermoedelijk gevolgen van de inbreuk;
6) maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
Wanneer moet een datalek gemeld worden?
Datalekken waarbij er sprake is van een aanzienlijke kans op ernstige nadelige gevolgen, of waarbij er ernstige nadelige gevolgen optreden voor de bescherming van persoonsgegevens, moeten worden gemeld.
(laatst bijgewerkt in mei 2016)