De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
In uw datalekregister moet u alle inbreuken vermelden die er in uw organisatie zijn geweest. Dat zijn dus zowel de datalekken die u moet melden bij de Autoriteit Persoonsgegevens (AP) als de datalekken die u niet hoeft te melden.
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare levende natuurlijke persoon. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens.
Er is sprake van een inbreuk in verband met persoonsgegevens wanneer de gegevens waarvoor uw onderneming/organisatie verantwoordelijk is het onderwerp worden van een beveiligingsincident waardoor de vertrouwelijkheid, beschikbaarheid of integriteit wordt geschonden.
Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek.
Het tonen van honderden e-mailadressen in cc komt neer op het – zonder toestemming – delen van persoonsgegevens, en kan daarmee volgens de AVG-regels kwalificeren als een datalek, aldus algemene informatie op de website van de Autoriteit Persoonsgegevens (AP).
Have I been Pwned van beveiligings-onderzoeker Troy Hunt is de bekendste site voor het doorzoeken van gelekte gebruikersnamen en wachtwoorden. Na het invullen en verifiëren van je e-mailadres doorzoekt de website de inmiddels enorme database om je te laten zien of je slachtoffer bent geworden van datadiefstal.
Wie vandaag de privacywet aan zijn laars lapt of overtreedt, riskeert een strafrechtelijke boete van 800 tot 800.000 euro. Vanaf 25 mei 2018 kan de Privacycommissie veel zwaardere sancties en administratieve boetes opleggen. Geen paniek.
U kunt een privacyklacht melden bij de Autoriteit Persoonsgegevens (AP) als een bedrijf of organisatie persoonsgegevens verwerkt (van uzelf of van iemand anders) op een manier die mogelijk in strijd is met de privacywetgeving.
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Dit zijn gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden.
Denk aan voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode, woonplaats, telefoonnummer (mobiel en vast), en e-mailadres. Een BSN mag alleen door overheidsinstanties gebruikt worden en door organisaties buiten de organisatie als dat in een wet staat.
Overtreding meldplicht datalekken
Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete geven. U kunt ook een boete krijgen als u ten onrechte een datalek met een hoog risico verzwijgt voor de betrokkenen.
Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het moet dus gaan om een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn niet beschermd geweest, mogelijk verloren of onrechtmatig verwerkt.
Datalekken moeten door de verantwoordelijke aan de toezichthoudende autoriteit gemeld worden, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokken persoon of personen.
Als je aangifte doet, verzoek je om strafvervolging. Dit betekent dat je wil dat de dader gestraft wordt. Doe je een melding, dan stel je de politie op de hoogte van de situatie.
er is geen bewijs of onvoldoende bewijs. het belang van de aangifte is te klein. Dat kan bijvoorbeeld het geval zijn bij een gestolen fiets. er is al te veel tijd verstreken sinds het strafbare feit is gepleegd.
Als politie- of inlichtingendiensten jouw gegevens verwerken, kan je contact opnemen met respectievelijk het Controleorgaan op de politionele informatie (COC) of met het Vast Comité I, omdat hiervoor een speciale procedure geldt.
welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt. dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Alleen in uitzonderlijke gevallen mag de politie bijzondere persoonsgegevens vastleggen. Dat zijn gegevens over bijvoorbeeld iemands godsdienst, ras, politieke voorkeur en gezondheid. De politie mag dit alleen als het onvermijdelijk is voor het onderzoek, de hulpverlening of een andere taak van de politie.
Hoe weet ik of ik gehackt ben? Controleer op https://haveibeenpwned.com/ of je e-mailadres of eventuele andere gegevens zijn buitgemaakt door hackers na een datalek. Check je recente bestanden. Ga naar Windows Verkenner en zie onder 'Snelle toegang' de lijst met bestanden die het laatst geopend zijn.
De hackers kunnen zich met de gegevens die ze hebben makkelijk voordoen als een werknemer van de woningcorporatie. Mensen drukken volgens Poot namelijk sneller op een link die afkomstig is van een organisatie die ze kennen. Geven de huurders via de mail nog meer gegevens weg, dan hebben ze een groot probleem.
De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein. Het BSN is een zogenaamd 'informatieloos' nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. Het is in het geval van een datalek niet nodig om het BSN te veranderen.