Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek.
Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het moet dus gaan om een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn niet beschermd geweest, mogelijk verloren of onrechtmatig verwerkt.
Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP).
Net als in 2017 was in 2018 het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (63% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend.
We spreken over een datalek als er persoonsgegevens gedeeld, verloren, gewijzigd of vernietigd zijn zonder dat dat de bedoeling was. Dit kan gebeuren door een slechte beveiliging, menselijke fouten of (digitale) inbraak. Hierbij is niet altijd zeker of de gegevens ook daadwerkelijk zijn gelekt naar derden.
Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.
Voorbeelden datalekken
Voorbeelden van datalekken zijn: het verlies van een USB-stick met niet-versleutelde persoonsgegevens; een cyberaanval waarbij persoonsgegevens zijn buitgemaakt; een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Organisaties die persoonsgegevens verwerken zijn verplicht een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht.
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstige verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens meestal eerst een bindende aanwijzing opleggen.
Alle ontvangers die bij 'Aan' en 'CC' staan, kunnen elkaars e-mailadressen zien. Daarnaast is er ook de optie 'BCC', dat betekent Blind Carbon Copy. Als je een e-mail verstuurt naar mensen die elkaar niet kennen en die elkaars e-mailadressen niet mogen weten, moet je altijd alle e-mailadressen bij BCC zetten.
Have I been Pwned van beveiligings-onderzoeker Troy Hunt is de bekendste site voor het doorzoeken van gelekte gebruikersnamen en wachtwoorden. Na het invullen en verifiëren van je e-mailadres doorzoekt de website de inmiddels enorme database om je te laten zien of je slachtoffer bent geworden van datadiefstal.
De Algemene verordening gegevensbescherming (AVG) spreekt van een 'inbreuk in verband met persoonsgegevens' (datalek) wanneer een inbreuk op de beveiliging leidt tot het verlies, of het ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens.
Er is sprake van een datalek wanneer een hacker toegang krijgt tot de database van een service of bedrijf, die privégegevens van gebruikers bevat. Deze gegevens kunnen variëren van gebruikersnamen en wachtwoorden tot burgerservicenummers, adressen en zelfs betalingsgegevens.
Wil je weten of je überhaupt wel eens in een datalek voorbij bent gekomen? Kijk dan op de website haveibeenpwned.com wanneer jouw gegevens zijn gelekt. Je moet hiervoor wel je e-mailadres invullen, dus als je meerdere e-mailadressen gebruikt, kun je het beste voor elk e-mailadres een aparte zoekopdracht doen.
Voorbeelden van persoonsgegevens:
e‑mailadres zoals [email protected]; nummer van identiteitskaart; locatiegegevens (bijvoorbeeld de locatiegegevens op een mobiele telefoon)*; internetprotocoladres (IP-adres);
U heeft een aantal privacy-rechten die u kunt gebruiken
Wel kunt u gebruik maken van uw privacy-rechten en bijvoorbeeld inzage krijgen in de persoonsgegevens die de desbetreffende organisatie van u heeft. Ook kunt u bijvoorbeeld vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen.
De kosten van zakelijke datalekken zijn dit jaar nog nooit zo hoog geweest. Gemiddeld kost een datalek bedrijven nu 3,5 miljoen euro. In het jaarlijkse 'Cost of Data Breach'-rapport constateert IBM dat de prijs van een gemiddeld datalek bedrijven nu gemiddeld 20 procent meer kost dan in 2020.
Datalekken moeten door de verantwoordelijke aan de toezichthoudende autoriteit gemeld worden, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokken persoon of personen.
Verwerkingsverantwoordelijke meldt het datalek
De verwerkingsverantwoordelijke is degene is die een datalek moet melden aan de toezichthouder, zie overweging 85 en artikel 33 van de AVG. Ook is duidelijk dat de 72-uur termijn start wanneer de verwerkingsverantwoordelijke kennis krijgt van een datalek.
Volgens de AVG is een verwerkingsverantwoordelijke: 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt' (artikel 4 lid 7 AVG).
Het datalek moet binnen de 72 uren na kennisname worden gemeld aan de Gegevensbeschermingsautoriteit. Daarbovenop stelt de AVG dat de betrokkenen onverwijld geïnformeerd moet worden wanneer het datalek een 'hoog risico' inhoudt voor de rechten en vrijheden van de betrokkenen.
Die zegt dat bedrijven de persoonlijke gegevens van mensen goed moeten beschermen. Dat betekent dat ze maatregelen moeten nemen om deze gegevens veilig te houden. Als ze dat niet goed doen, kunnen ze een boete krijgen tot meer dan 800.000 euro of tien procent van hun jaaromzet.
De AVG definieert een datalek als volgt: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.