Een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer. De persoon of personen van wie een organisatie persoonsgegevens verwerkt.
Privacyschending melden via Centraal Meldpunt Nederland: Meld.nl. Is uw privacy geschonden omdat uw persoonsgegevens als klant is gelekt, is uw onderneming slachtoffer geworden van lekken van persoonsgegevens door cybercrime? U bent verplicht om een intern privacybeleid te hebben.
Naar verwachting zullen organisaties hun gegevens beter beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen. Op niet-naleving van de meldplicht staat een maximale boete van 10 miljoen euro (of 2% van de wereldwijde jaaromzet).
Sommige gegevens zijn zo delicaat dat ze alleen in heel specifieke gevallen mogen worden verwerkt. Een naam en adres zijn eerder onschuldige gegevens, maar dat geldt niet voor bv. gezondheid, politieke opvattingen, religieuze overtuigingen, seksuele voorkeuren of uw gerechtelijk verleden.
Een datalek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Denk bijvoorbeeld aan financiële gegevens, medische informatie of kopieën van identiteitsbewijzen.
Een datalek moet melden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. Zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer. De persoon of personen van wie een organisatie persoonsgegevens verwerkt.
Een gedupeerde van een datalek heeft in beginsel recht op materiële en immateriële schadevergoeding. In de praktijk blijkt vooral het recht op immateriële schadevergoeding te worden toegekend, maar ook op basis van dit recht zal de gedupeerde niet zomaar een schadevergoeding kunnen krijgen.
En sinds begin 2016 is dit strafbaar. Als je een datalek hebt, zijn de gevolgen voor jullie vereniging hetzelfde als voor elke andere instantie. Het is dus verstandig je hierin te verdiepen.
Het wordt strafbaar om persoonsgegevens van een ander te delen met de bedoeling om diegene te intimideren. De Eerste Kamer heeft het wetsvoorstel aangenomen om het gebruik van persoonsgegevens voor intimiderende doeleinden – ook wel doxing genoemd - strafbaar te stellen.
Overtreedt een organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen? Dan kan de AP een boete opleggen van maximaal €20.000.000.Of een boete van maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.
Bij een overtreding, zoals discriminatie, kunt u aangifte of melding doen bij de politie.
Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Organisaties die persoonsgegevens verwerken zijn verplicht een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht.
De AP kan een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Neem onmiddellijk maatregelen om het datalek te stoppen en de schade van het datalek te beperken. Schat daarbij ook de risico's in. Bepaal of u het datalek wel of niet moet melden aan de AP. Zo ja, doe dit dan onmiddellijk.
Verwerkers en verwerkingsverantwoordelijken bij een datalek
Dan is de softwareleverancier in de meeste gevallen een verwerker in de zin van de AVG. Een verwerkingsverantwoordelijke blijft altijd verantwoordelijk voor de persoonsgegevens die ze verwerkt. Ook wanneer die verwerking wordt uitbesteed aan een verwerker.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo'n inbreuk valt onder een datalek.
Uit onderzoek van AP is gebleken dat het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger het meest voorkomende type datalek is. Het kwijtraken of de diefstal van gegevensdrager (USB-stick, laptop, smartphone, enz.) is daarna het meest voorkomende type datalek.
Op 25 mei 2018 is de AVG van toepassing geworden in de Europese Unie (EU). Dat betekent dat er sinds die datum dezelfde privacywetgeving geldt in de hele EU. In het Engels heet de AVG de General Data Protection Regulation (GDPR). Die naam wordt soms ook gebruikt.
Datalek of niet? Het is géén datalek als u (of een medewerker) een phishingmail heeft ontvangen, maar er niets mee heeft gedaan. Maar heeft u op een link geklikt, een bijlage geopend of gegevens op een website ingevuld? Dan kan er wel sprake zijn van een datalek.
De precieze gevaren hangen onder andere af van welke data is gelekt en of de gegevens gecombineerd worden met die uit andere lekken. De belangrijkste gevaren na een datalek zijn:Identiteitsfraude.Criminelen kunnen jouw identiteit aannemen en op/onder jouw naam zaken afsluiten of criminele activiteiten uitvoeren.
Net als in de afgelopen jaren worden de meeste datalekken veroorzaakt doordat persoonsgegevens naar een verkeerde ontvanger gaan. De stijging van het aantal meldingen vanuit de overheid komt hoofdzakelijk door dit type datalek. In 2020 ontving de AP 1.173 meldingen over hacking, malware1 of phishing2-incidenten.
Voorbeelden persoonsgegevens
Voor de hand liggende persoonsgegevens zijn iemands naam, adres, telefoonnummer en pasfoto. Maar persoonsgegevens zijn bijvoorbeeld ook wat iemand op internet koopt, of die persoon allergieën heeft en beelden van een bewakingscamera waar diegene herkenbaar op staat.