Organisaties zijn verplicht een datalek of mogelijk datalek direct te melden aan de Autoriteit Persoonsgegevens. Bij dit datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens, in dit geval emailadressen.
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Voorbeelden van persoonsgegevens:
e‑mailadres zoals [email protected]; nummer van identiteitskaart; locatiegegevens (bijvoorbeeld de locatiegegevens op een mobiele telefoon)*; internetprotocoladres (IP-adres);
Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek.
Voorbeeld van een datalek is een cyberaanval waarbij persoonsgegevens zijn buitgemaakt. Ook kun je denken aan het verlies van een USB-stick met niet-versleutelde gegevens of besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Door in je browser een bladwijzer (of favoriet) aan te maken kun je, eenvoudig en met 1 klik, bij Have I Been Pwned controleren of jouw gegevens gelekt zijn. Maak een bladwijzer aan die verwijst naar https://haveibeenpwned.com/account/<jouw e-mailadres>.
Net als in 2017 was in 2018 het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (63% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend.
Er is sprake van een datalek wanneer een hacker toegang krijgt tot de database van een service of bedrijf, die privégegevens van gebruikers bevat. Deze gegevens kunnen variëren van gebruikersnamen en wachtwoorden tot burgerservicenummers, adressen en zelfs betalingsgegevens.
Onbedoelde toegang tot de inhoud van een e-mail is bezwaarlijk, zeker als het gaat om medische gegevens. Deze gegevens zijn op grond van de privacywetgeving namelijk aan te merken als “bijzondere” persoonsgegevens en verdienen daarom een hoog niveau van bescherming.
Onder indirecte persoonsgegevens vallen gegevens die niet rechtstreeks over de persoon gaan, zoals WOZ-waarde, kentekennummer, de winst van een eenmanszaak en het IP-adres van een computer.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.
U heeft een aantal privacy-rechten die u kunt gebruiken
Wel kunt u gebruik maken van uw privacy-rechten en bijvoorbeeld inzage krijgen in de persoonsgegevens die de desbetreffende organisatie van u heeft. Ook kunt u bijvoorbeeld vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen.
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstige verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens meestal eerst een bindende aanwijzing opleggen.
De precieze gevaren hangen onder andere af van welke data is gelekt en of de gegevens gecombineerd worden met die uit andere lekken. De belangrijkste gevaren na een datalek zijn: Identiteitsfraude. Criminelen kunnen jouw identiteit aannemen en op/onder jouw naam zaken afsluiten of criminele activiteiten uitvoeren.
Inbreuk op de integriteit: de gegevens zijn onbevoegd of onopzettelijk gewijzigd. Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn onbevoegd of onopzettelijk openbaar gemaakt, of onbevoegden hebben onopzettelijk toegang gekregen.
Hiervoor hoef je alleen maar naar de HPI-website te gaan, je e-mailadres in te voeren en op de button "Check e-mail address!" te klikken. De tool geeft niet alleen antwoord op de vraag "Is mijn e-mail gehackt?", maar checkt ook of andere persoonlijke informatie online gepubliceerd of misbruikt is.
Hoe weet ik of ik gehackt ben? Controleer op https://haveibeenpwned.com/ of je e-mailadres of eventuele andere gegevens zijn buitgemaakt door hackers na een datalek. Check je recente bestanden. Ga naar Windows Verkenner en zie onder 'Snelle toegang' de lijst met bestanden die het laatst geopend zijn.
Controleer zo of uw accountgegevens gelekt zijn: Ga naar de site haveibeenpwned.com. Klik op Email or phone (international format). Vul uw mailadres in.
Leak checker en benikerbij.nl
In de 'Facebook leak checker' kun je je voornaam en achternaam invullen om erachter te komen of jouw gegevens voorkomen in de gelekte Nederlandse database. Als er één of meerdere matches gevonden zijn, zie je van iedere match de laatste drie cijfers van het bij Facebook bekende 06-nummer.
Sinds iOS 14 waarschuwt Apple je voor onveilige wachtwoorden of als je wachtwoord gelekt is. Je krijgt ook meldingen als je gebruik maakt van een dienst die gehackt is. Maar het klinkt soms ernstiger dan het is.
Het HvJ oordeelt dat een dynamisch IP-adres in beginsel geen gegeven is welke direct is te herleiden naar een persoon. Echter, is een persoonsgegeven in de zin van artikel 2 van de Privacyrichtlijn ook elk gegeven, waarmee een persoon indirect kan worden geïdentificeerd.
De gebruikersnaam is meestal een unieke naam zoals de eigen naam van de gebruiker, zijn/haar e-mailadres, of een pseudoniem/nickname. Een gebruikersnaam dient per definitie voor de identificatie van een natuurlijk persoon. We kunnen daarbij dus kort zijn: een gebruikersnaam (pseudoniem of niet) is een persoonsgegeven.