U moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP). Ténzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeert u alleen als er sprake is van een hoog risico. Bij het inschatten van het risico kijkt u naar hoe waarschijnlijk het is dat een risico zich voordoet.
Dan moet de melding van het datalek binnen de 72 uur plaatsvinden nadat je als verwerkingsverantwoordelijke het lek vastgesteld hebt.
Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.
Voorbeeld van een datalek is een cyberaanval waarbij persoonsgegevens zijn buitgemaakt. Ook kun je denken aan het verlies van een USB-stick met niet-versleutelde gegevens of besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
De kosten van zakelijke datalekken zijn dit jaar nog nooit zo hoog geweest. Gemiddeld kost een datalek bedrijven nu 3,5 miljoen euro. In het jaarlijkse 'Cost of Data Breach'-rapport constateert IBM dat de prijs van een gemiddeld datalek bedrijven nu gemiddeld 20 procent meer kost dan in 2020.
U heeft een aantal privacy-rechten die u kunt gebruiken
Wel kunt u gebruik maken van uw privacy-rechten en bijvoorbeeld inzage krijgen in de persoonsgegevens die de desbetreffende organisatie van u heeft. Ook kunt u bijvoorbeeld vragen om de vernietiging van uw persoonsgegevens om verdere incidenten te voorkomen.
Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.
Een onderneming moet beleid, procedures en maatregelen hebben die haar in staat stellen om ongebruikelijke transacties te herkennen en deze ongebruikelijke transacties te melden bij FIU-Nederland. De meldprocedure staat toegelicht op de website van FIU-Nederland onder 'instellingen'.
Op grond van de AVG dient u een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie.
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstige verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens meestal eerst een bindende aanwijzing opleggen.
Controleer datalekken.
Ga met enige regelmaat of je data onderdeel zijn van een bekend lek. Dit kan onder meer via haveibeenpwned.com en scatteredsecrets.com. Overigens, als jouw mailadres of 06-nummer niet voorkomt op deze sites, kunnen je gegevens wel zijn gelekt.
Door in je browser een bladwijzer (of favoriet) aan te maken kun je, eenvoudig en met 1 klik, bij Have I Been Pwned controleren of jouw gegevens gelekt zijn. Maak een bladwijzer aan die verwijst naar https://haveibeenpwned.com/account/<jouw e-mailadres>.
De AP kreeg in 2021 in totaal 24.866 meldingen van datalekken. Dat is een stijging van 4% ten opzichte van 2020. De AP maakt zich zorgen over de exponentiële stijging van het aantal gemelde cyberaanvallen, dat met 88% is gestegen ten opzichte van 2020.
Mensen hebben meer en sterkere privacyrechten
Die rechten zijn nu uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt.
Net als in 2017 was in 2018 het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (63% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend.
Leak checker en benikerbij.nl
In de 'Facebook leak checker' kun je je voornaam en achternaam invullen om erachter te komen of jouw gegevens voorkomen in de gelekte Nederlandse database. Als er één of meerdere matches gevonden zijn, zie je van iedere match de laatste drie cijfers van het bij Facebook bekende 06-nummer.
Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick. Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen op zichzelf nog geen datalek.
Ja, iPhones kunnen gehackt worden (vooral een jailbroken apparaat). Apple-apparaten hebben een uitstekende ingebouwde beveiliging, wat voornamelijk door 'sandboxing' komt. Dit betekent dat apps geen toegang kunnen krijgen tot andere apps of wijzigingen aan kunnen brengen aan je iPhone zonder je toestemming.
Hoe weet ik of ik gehackt ben? Controleer op https://haveibeenpwned.com/ of je e-mailadres of eventuele andere gegevens zijn buitgemaakt door hackers na een datalek. Check je recente bestanden. Ga naar Windows Verkenner en zie onder 'Snelle toegang' de lijst met bestanden die het laatst geopend zijn.
Controleer zo of uw accountgegevens gelekt zijn: Ga naar de site haveibeenpwned.com. Klik op Email or phone (international format). Vul uw mailadres in.