De gemiddelde totale kosten van een datalek bereikten in 2023 een historisch hoogtepunt en bedroegen $4,45 miljoen. Dit vertegenwoordigt een stijging van 2,3% ten opzichte van het voorgaande jaar en een stijging van 15,3% sinds 2020.
Denk aan naam, adres en telefoonnummer. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. Bijvoorbeeld een medewerker die een USB-stick met klantgegevens in de trein laat liggen. Of persoonsgegevens die onbeveiligd op een computerserver staan.
Voorbeelden van een datalek
persoonsgegevens die aan een verkeerde geadresseerde zijn verstuurd; inzage in een medisch dossier door een onbevoegde medewerker; het verlies van een USB-stick met niet-versleutelde persoonsgegevens; Dit is een beveiligingsmaatregel.
De precieze gevaren hangen onder andere af van welke data is gelekt en of de gegevens gecombineerd worden met die uit andere lekken. De belangrijkste gevaren na een datalek zijn: Identiteitsfraude.Criminelen kunnen jouw identiteit aannemen en op/onder jouw naam zaken afsluiten of criminele activiteiten uitvoeren.
U kunt verplicht zijn om het datalek binnen 72 uur te melden bij de AP. Ook kunt u verplicht zijn om de slachtoffers te informeren over het datalek. U beoordeelt zelf of dit het geval is. Hoe u dit doet, leest u bij Datalek: wel of niet melden.
Een datalek is ernstig als het lek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Is dit niet waarschijnlijk? Dan hoeft u het datalek niet te melden (u moet het dan overigens wel opnemen in uw register datalekken).
Op niet-naleving van de meldplicht staat een maximale boete van 10 miljoen euro (of 2% van de wereldwijde jaaromzet). Een datalek dat ten onrechte niet gemeld wordt aan de toezichthouder én niet gemeld wordt aan de betrokkenen terwijl dat wel had gemoeten, kan twee overtredingen (boetes) opleveren.
Een datalek is er wanneer er onzorgvuldig met persoonsgegevens wordt omgegaan. En sinds begin 2016 is dit strafbaar.
3. Wie een datalek moet melden. Volgens de Algemene verordening gegevensbescherming (AVG) moet de verwerkingsverantwoordelijke een datalek melden.
Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP).
Uit onderzoek van AP is gebleken dat het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger het meest voorkomende type datalek is. Het kwijtraken of de diefstal van gegevensdrager (USB-stick, laptop, smartphone, enz.) is daarna het meest voorkomende type datalek.
In 2021 waren dat er nog 24.866, maar de AP zegt dat de meldingscijfers al jaren tussen de 20.000 en 25.000 schommelen. Vanuit het buitenland werden er nog 47 datalekken gemeld waarbij onder andere ook gegevens van Nederlanders betrokken waren. Daarnaast waren er nog eens 1.826 meldingen van cyberaanvallen.
Wil je weten of je überhaupt wel eens in een datalek voorbij bent gekomen? Kijk dan op de website haveibeenpwned.com wanneer jouw gegevens zijn gelekt. Je moet hiervoor wel je e-mailadres invullen, dus als je meerdere e-mailadressen gebruikt, kun je het beste voor elk e-mailadres een aparte zoekopdracht doen.
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.
Op grond van artikel 37 van de AVG is het aanstellen van een FG verplicht voor:Overheidsinstanties en publieke organisaties.
De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein. Het BSN is een zogenaamd 'informatieloos' nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. Het is in het geval van een datalek niet nodig om het BSN te veranderen.
Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur na ontdekking van het datalek, via de website van de Autoriteit Persoonsgegevens gemeld te worden door de verwerkingsverantwoordelijke.
U bent verwerker als u persoonsgegevens verwerkt in opdracht van een andere organisatie. U gebruikt deze persoonsgegevens niet voor eigen doeleinden.
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat. Sommige persoonsgegevens gaan direct over iemand.
Bescherming privacy bij gebruik persoonsgegevens
Iedereen mag organisaties op de naleving van de AVG aanspreken. De maximale boete is € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet als het om een grote onderneming gaat.
Recht van inzage
Als dat zo is, dan heb je ook het recht om te weten welke gegevens dat zijn, voor welk doel ze worden verwerkt, of en met wie ze worden gedeeld en hoe lang ze worden bewaard. Je hebt geen recht op inzage in andermans persoonsgegevens.
De Autoriteit Persoonsgegevens mag een zogeheten 'last onder dwangsom' opleggen. Als u zich niet houdt aan een bindende instructie van de AP, kan dat direct leiden tot een geldelijke sanctie, ofwel een dwangsom. De dreiging met een dwangsom is iets anders dan de administratieve boetes die al in de AVG staan.
In de Algemene verordening gegevensbescherming (AVG) staat geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren.
De Algemene Verordening Gegevensbescherming (AVG) is een Europese Privacywet. De AVG regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En u mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is.