Precies! Alle gebeurtenissen waarbij de Beschikbaarheid, Integriteit of Vertrouwelijkheid van gegevens mogelijk in gevaar zijn gebracht zijn incidenten, maar alleen als hier persoonsgegevens bij betrokken zijn is het een datalek. Alle datalekken zijn dus incidenten, maar niet alle incidenten zijn datalekken.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo'n inbreuk valt onder een datalek.
Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek. Het niet adequaat beveiligen van persoonsgegevens geldt overigens wel als een inbreuk op de AVG die tot sancties kan leiden.
Datalek of niet? Het is géén datalek als u (of een medewerker) een phishingmail heeft ontvangen, maar er niets mee heeft gedaan. Maar heeft u op een link geklikt, een bijlage geopend of gegevens op een website ingevuld? Dan kan er wel sprake zijn van een datalek.
Uit onderzoek van AP is gebleken dat het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger het meest voorkomende type datalek is. Het kwijtraken of de diefstal van gegevensdrager (USB-stick, laptop, smartphone, enz.) is daarna het meest voorkomende type datalek.
Denk aan naam, adres en telefoonnummer. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. Bijvoorbeeld een medewerker die een USB-stick met klantgegevens in de trein laat liggen. Of persoonsgegevens die onbeveiligd op een computerserver staan.
Voorbeelden van een datalek zijn hacks (online inbraak in een databestand), maar ook een gestolen of kwijtgeraakte laptop, telefoon of usb-stick. Naar een verkeerd mailadres verstuurde (klant)gegevens en een brand in een datacentrum zijn ook datalekken.
Controleer datalekken.
Dit kan onder meer via haveibeenpwned.com , scatteredsecrets.com en politie.nl/checkjehack. Ook steeds meer wachtwoordmanagers waarschuwen als je wachtwoorden gelekt zijn. Overigens, als jouw mailadres of 06-nummer niet voorkomt op de hiervoor genoemde sites, kunnen je gegevens wel zijn gelekt.
Hoe het werkt is simpel. Je vult je e-mailadres, wachtwoord of telefoonnummer in en de website scant het internet om te zien of deze gegevens voorkomen in een datalek.
Een datalek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Denk bijvoorbeeld aan financiële gegevens, medische informatie of kopieën van identiteitsbewijzen.
De stappen voor het melden van een datalek
U meldt een datalek bij de AP. Dit moet u doen binnen 72 uur na kennisname van het lek.
Een gedupeerde van een datalek heeft in beginsel recht op materiële en immateriële schadevergoeding. In de praktijk blijkt vooral het recht op immateriële schadevergoeding te worden toegekend, maar ook op basis van dit recht zal de gedupeerde niet zomaar een schadevergoeding kunnen krijgen.
Voorbeelden persoonsgegevens
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat.
U kunt verplicht zijn om het datalek binnen 72 uur te melden bij de AP. Ook kunt u verplicht zijn om de slachtoffers te informeren over het datalek. U beoordeelt zelf of dit het geval is. Hoe u dit doet, leest u bij Datalek: wel of niet melden.
Eerste Hulp bij Datalekken
Een datalek wil zeggen dat er vanuit of binnen uw praktijk persoonsgegevens van patiënten (data) op straat zijn gekomen, door onbevoegden zijn ingezien of verloren zijn gegaan.
In 2021 ontving de Autoriteit Persoonsgegevens (AP) 24.866 datalekmeldingen. Dat is een stijging van 4% ten opzichte van 2020 (23.976 datalekmeldingen). Het aantal meldingen van datalekken door hacking, malware of phishing (hierna: cyberaanvallen) is opnieuw fors gestegen.
Wat gebeurt er als je telefoon gehackt is? Wees alert op afwijkend gedrag, bijvoorbeeld vreemde activiteit op je onlineaccounts, oproepen, berichten, sms'jes van onbekenden en vooral als je telefoon opeens heel traag wordt en de batterij snel leegloopt.
Zoom de camera een paar keer in en uit en maak een aantal foto's.Als je merkt dat je camera veel trager is dan normaal, kan dat betekenen dat deze gehackt is. Controleer de lijst met apps die toegang tot je camera hebben. Als er een app tussen staat die je niet herkent, is je camera mogelijk gehackt.
Hackers kunnen je telefoonnummer gebruiken om spam- of sms-berichten te verzenden, bijvoorbeeld om je te vragen om geld over te maken naar een bepaalde rekening. Het is daarom belangrijk om voorzichtig te zijn met wie je je telefoonnummer deelt en om geen persoonlijke informatie te verstrekken aan onbekende personen.
Hoe weet ik of ik gehackt ben? Controleer op https://haveibeenpwned.com/ of je e-mailadres of eventuele andere gegevens zijn buitgemaakt door hackers na een datalek. Check je recente bestanden.
Wanneer je met Apple werkt en je wachtwoord betrokken is bij een datalek, dan krijg je een melding bij gelekte wachtwoorden. Dit houdt in dat je een melding krijgt van de sites waar dit wachtwoord gebruikt is. Je kunt zelf aangeven of je wilt dat gehackte wachtwoorden gedetecteerd worden.
Ernst van gevolgen voor slachtoffers
Kan het datalek leiden tot financiële schade, identiteitsfraude, lichamelijk letsel, psychisch leed, vernedering of reputatieschade? Dan kan de schade voor het slachtoffer bijzonder ernstig zijn. U moet er dan rekening mee houden dat er een hoog risico is.
Naast onder meer de NS en VodafoneZiggo zijn er nóg drie bedrijven geraakt: ook klantgegevens van de Nederlandse Golf Federatie, ArboNed en vervoersbedrijf Trevvel blijken te zijn gelekt. De Autoriteit Persoonsgegevens heeft nog geen totaalbeeld kunnen maken.
Helaas is menselijke fout vaak de oorzaak van datalekken, in 74% van de gevallen. Een menselijke fout is daarmee verreweg het grootste gevaar voor de dataveiligheid van alle bedrijven ter wereld. En dus ook voor jouw bedrijf.
Schadevergoeding voor datalek
Zijn uw gegevens getroffen door een datalek? En heeft u hierdoor schade geleden? Dan heeft u mogelijk recht op een schadevergoeding. U heeft volgens artikel 82 van de privacywet AVG recht op schadevergoeding als u schade lijdt doordat een organisatie in strijd met de AVG handelt.