Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo'n inbreuk valt onder een datalek.
Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.
Precies! Alle gebeurtenissen waarbij de Beschikbaarheid, Integriteit of Vertrouwelijkheid van gegevens mogelijk in gevaar zijn gebracht zijn incidenten, maar alleen als hier persoonsgegevens bij betrokken zijn is het een datalek. Alle datalekken zijn dus incidenten, maar niet alle incidenten zijn datalekken.
Volgens de AVG bent u verplicht een datalekregister op te stellen en bij te houden. Hierin houdt u bij welke datalekken er in uw organisatie zijn geweest. In het register moet u alle datalekken vastleggen die zich binnen uw organisatie hebben afgespeeld. Ook de datalekken die u niet aan de AP heeft gemeld.
Uit onderzoek van AP is gebleken dat het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger het meest voorkomende type datalek is. Het kwijtraken of de diefstal van gegevensdrager (USB-stick, laptop, smartphone, enz.) is daarna het meest voorkomende type datalek.
Denk aan naam, adres en telefoonnummer. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. Bijvoorbeeld een medewerker die een USB-stick met klantgegevens in de trein laat liggen. Of persoonsgegevens die onbeveiligd op een computerserver staan.
Een datalek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Denk bijvoorbeeld aan financiële gegevens, medische informatie of kopieën van identiteitsbewijzen.
En sinds begin 2016 is dit strafbaar. Als je een datalek hebt, zijn de gevolgen voor jullie vereniging hetzelfde als voor elke andere instantie. Het is dus verstandig je hierin te verdiepen.
We spreken over een datalek als er persoonsgegevens gedeeld, verloren, gewijzigd of vernietigd zijn zonder dat dat de bedoeling was. Dit kan gebeuren door een slechte beveiliging, menselijke fouten of (digitale) inbraak. Hierbij is niet altijd zeker of de gegevens ook daadwerkelijk zijn gelekt naar derden.
Wie moet een datalek melden bij de Autoriteit Persoonsgegevens? De algemene regel is dat de verwerkingsverantwoordelijke een datalek moet melden. De verwerkingsverantwoordelijke is de organisatie of persoon die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.
Datalek of niet? Het is géén datalek als u (of een medewerker) een phishingmail heeft ontvangen, maar er niets mee heeft gedaan. Maar heeft u op een link geklikt, een bijlage geopend of gegevens op een website ingevuld? Dan kan er wel sprake zijn van een datalek.
3. Wie een datalek moet melden. Volgens de Algemene verordening gegevensbescherming (AVG) moet de verwerkingsverantwoordelijke een datalek melden.
U dient het datalek zo snel mogelijk – maar uiterlijk binnen 72 uur na de ontdekking – te melden bij het meldloket datalekken van de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging.
Overheden, bedrijfsleven en verenigingen moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Door de AVG krijgen mensen meer privacyrechten.Organisaties moeten hun systemen en processen hierop inrichten.
Ernst van gevolgen voor slachtoffers
Kan het datalek leiden tot financiële schade, identiteitsfraude, lichamelijk letsel, psychisch leed, vernedering of reputatieschade? Dan kan de schade voor het slachtoffer bijzonder ernstig zijn. U moet er dan rekening mee houden dat er een hoog risico is.
U heeft privacyrechten.Zoals het recht om uw gegevens in te zien, te laten rectificeren of wissen. U kunt bijvoorbeeld aan een organisatie vragen om inzage te geven in uw gegevens. De organisatie moet binnen 1 maand reageren op uw verzoek.
De Autoriteit Persoonsgegevens (AP) identificeert drie belangrijke soorten cyberaanvallen: hacking, malware en phishing. In het jaar 2021 ontving de AP ruim 2.200 meldingen van datalekken als gevolg van dergelijke cyberaanvallen.
In 2021 ontving de Autoriteit Persoonsgegevens (AP) 24.866 datalekmeldingen. Dat is een stijging van 4% ten opzichte van 2020 (23.976 datalekmeldingen). Het aantal meldingen van datalekken door hacking, malware of phishing (hierna: cyberaanvallen) is opnieuw fors gestegen.
We spreken van een datalek of inbreuk in verband met persoonsgegevens als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is.
De Autoriteit Persoonsgegevens mag een zogeheten 'last onder dwangsom' opleggen. Als u zich niet houdt aan een bindende instructie van de AP, kan dat direct leiden tot een geldelijke sanctie, ofwel een dwangsom. De dreiging met een dwangsom is iets anders dan de administratieve boetes die al in de AVG staan.
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.
Begin een gerechtelijke procedure tegen een onderneming of organisatie als u vindt dat zij uw recht op gegevensbescherming heeft geschonden. Dat hoeft u er niet van te weerhouden om, als u dat wilt, een klacht bij de nationale gegevensbeschermingsautoriteit in te dienen.
Voorbeelden persoonsgegevens
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Er is sprake van een inbreuk in verband met persoonsgegevens wanneer de gegevens waarvoor uw onderneming/organisatie verantwoordelijk is het onderwerp worden van een beveiligingsincident waardoor de vertrouwelijkheid, beschikbaarheid of integriteit wordt geschonden.