Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.
U moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP). Ténzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeert u alleen als er sprake is van een hoog risico. Bij het inschatten van het risico kijkt u naar hoe waarschijnlijk het is dat een risico zich voordoet.
Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.
Have I been Pwned van beveiligings-onderzoeker Troy Hunt is de bekendste site voor het doorzoeken van gelekte gebruikersnamen en wachtwoorden. Na het invullen en verifiëren van je e-mailadres doorzoekt de website de inmiddels enorme database om je te laten zien of je slachtoffer bent geworden van datadiefstal.
Net als in 2017 was in 2018 het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (63% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend.
Wil je weten of je überhaupt wel eens in een datalek voorbij bent gekomen? Kijk dan op de website haveibeenpwned.com wanneer jouw gegevens zijn gelekt. Je moet hiervoor wel je e-mailadres invullen, dus als je meerdere e-mailadressen gebruikt, kun je het beste voor elk e-mailadres een aparte zoekopdracht doen.
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstige verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens meestal eerst een bindende aanwijzing opleggen.
We spreken over een datalek als er persoonsgegevens gedeeld, verloren, gewijzigd of vernietigd zijn zonder dat dat de bedoeling was. Dit kan gebeuren door een slechte beveiliging, menselijke fouten of (digitale) inbraak. Hierbij is niet altijd zeker of de gegevens ook daadwerkelijk zijn gelekt naar derden.
Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek.
Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP).
De kosten van zakelijke datalekken zijn dit jaar nog nooit zo hoog geweest. Gemiddeld kost een datalek bedrijven nu 3,5 miljoen euro. In het jaarlijkse 'Cost of Data Breach'-rapport constateert IBM dat de prijs van een gemiddeld datalek bedrijven nu gemiddeld 20 procent meer kost dan in 2020.
Controleer zo of uw accountgegevens gelekt zijn: Ga naar de site haveibeenpwned.com. Klik op Email or phone (international format). Vul uw mailadres in.
Leak checker en benikerbij.nl
In de 'Facebook leak checker' kun je je voornaam en achternaam invullen om erachter te komen of jouw gegevens voorkomen in de gelekte Nederlandse database. Als er één of meerdere matches gevonden zijn, zie je van iedere match de laatste drie cijfers van het bij Facebook bekende 06-nummer.
De hackers kunnen zich met de gegevens die ze hebben makkelijk voordoen als een werknemer van de woningcorporatie. Mensen drukken volgens Poot namelijk sneller op een link die afkomstig is van een organisatie die ze kennen. Geven de huurders via de mail nog meer gegevens weg, dan hebben ze een groot probleem.
Iemand die schade heeft geleden als gevolg van een inbreuk op de AVG, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen. Naast materiële schade komt ook immateriële schade in aanmerking voor schadevergoeding.
Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Organisaties die persoonsgegevens verwerken zijn verplicht een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht.
De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein. Het BSN is een zogenaamd 'informatieloos' nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. Het is in het geval van een datalek niet nodig om het BSN te veranderen.
De AVG definieert een datalek als volgt: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
Inbreuk op de integriteit: de gegevens zijn onbevoegd of onopzettelijk gewijzigd. Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn onbevoegd of onopzettelijk openbaar gemaakt, of onbevoegden hebben onopzettelijk toegang gekregen.
En hackers zullen ook geïnteresseerd zijn in je contacten, want als ze die te pakken kunnen krijgen, kunnen ze phishing-e-mails sturen naar iedereen die je kent. Je browsegegevens bestaan uit cookies, ISP-logs en browserplugins die gegevens kunnen opslaan.
Hoe weet ik of ik gehackt ben? Controleer op https://haveibeenpwned.com/ of je e-mailadres of eventuele andere gegevens zijn buitgemaakt door hackers na een datalek. Check je recente bestanden. Ga naar Windows Verkenner en zie onder 'Snelle toegang' de lijst met bestanden die het laatst geopend zijn.
Hiervoor hoef je alleen maar naar de HPI-website te gaan, je e-mailadres in te voeren en op de button "Check e-mail address!" te klikken. De tool geeft niet alleen antwoord op de vraag "Is mijn e-mail gehackt?", maar checkt ook of andere persoonlijke informatie online gepubliceerd of misbruikt is.