datalek

Een datalek: altijd reden voor paniek?

Als privacyspecialisten zien wij regelmatig een datalek voorbijkomen. Het versturen van een mail naar een verkeerde ontvanger, het rond laten slingeren van gevoelige documenten of de pech met een hardnekkige cyberaanval: datalekken leiden vaak tot paniek. Maar is dat ook nodig? Nee, wat ons betreft niet. Wat wel altijd nodig is, is actie. Welke actie u moet ondernemen, legt privacy & cybersecurity specialist Inge Leenheer u in dit artikel uit.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van deze organisatie. Dit gaat dus verder dan alleen maar het op straat komen te liggen van gegevens. Ook wanneer gegevens gewijzigd of verwijderd worden, zonder dat dit de bedoeling is, is er sprake van een datalek. Stelt u een datalek vast? Dan moet u deze vaak melden bij de Autoriteit Persoonsgegevens en soms ook bij de betrokkenen zelf (de personen wiens gegevens zijn gelekt).

Datalek: wanneer melden?

Een datalek moet u melden bij de Autoriteit Persoonsgegevens op het moment dat het waarschijnlijk is dat het leidt tot een risico voor de rechten en vrijheden van betrokkenen. Dat risico is soms duidelijk, bijvoorbeeld wanneer een medisch dossier of financiële gegevens zijn gelekt. Soms is het niet meteen duidelijk of een datalek tot risico’s leidt. Om dat te beoordelen, moet u goed letten op de soort persoonsgegevens, de omvang van de gelekte persoonsgegevens en de gevoeligheid ervan. Over het algemeen geldt: des te gevoeliger de gegevens en des te meer gegevens zijn gelekt, des te groter het risico op schade. Houd bovendien rekening met de personen van wie de gegevens zijn gelekt. Zijn dit kinderen? Of patiënten van een ziekenhuis? Dan is het risico doorgaans hoger. Neem al dit soort factoren mee in uw beoordeling. Aan de hand hiervan kunt u vaststellen of u het moet melden.

Datalek melden bij Autoriteit Persoonsgegevens

Komt u tot de conclusie dat het datalek inderdaad gemeld moet worden, dan moet u dit binnen 72 uur na de ontdekking ervan doen. Binnen die 72 uur onderzoekt u het datalek, de gevolgen en, belangrijker nog, spant u zich in om het lek te stoppen en schade zoveel mogelijk te beperken. De termijn van 72 uur begint te lopen op het moment dat u het datalek heeft ontdekt. Is het datalek niet ontstaan binnen uw organisatie maar bij een organisatie die namens u gegevens verwerkt (‘verwerker’), dan begint de termijn te lopen op het moment dat de verwerker u op de hoogte heeft gebracht van het datalek. Meld het datalek vervolgens via de website van de Autoriteit Persoonsgegevens. U moet veel informatie invullen en ook verantwoorden hoe u geprobeerd heeft de schade van het datalek te beperken. Komt u hier niet uit? Wij kijken graag even met u mee.

Persoonsgegevens en betrokkenen

Een datalek kan ook een hoog risico opleveren voor betrokkenen. Dat is het geval wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. Waar moet u aan denken? Stel dat er gegevens kwijt zijn geraakt in een ziekenhuis en deze gegevens zijn cruciaal voor de behandeling van de patiënt. Op zo’n moment kan het lek leiden tot fysieke schade bij de betrokkene. Ook kans op identiteitsfraude, discriminatie of oplichting levert een hoog risico op voor de betrokkenen. In zo’n geval moet u ook betrokkenen informeren over het datalek. De betrokkenen moeten kunnen begrijpen wat er met hun persoonsgegevens is gebeurd. Daarom mag een mail of brief waarin u betrokkenen informeert, niet onnodig gecompliceerd en juridisch zijn. Geef kort en bondig uitleg over het datalek. De AVG stelt eisen aan wat er in zo’n brief moet staan, dus let erop dat u compleet bent.

Datalek voorkomen

Heeft u een datalek vastgesteld, raak dan niet meteen in paniek. De gevolgen zijn vaak goed te overzien en uw inspanningen om eventuele schade te beperken, wegen al erg zwaar. Voorkomen is natuurlijk altijd beter dan genezen. Zorg dus voor een goede beveiliging van uw gegevens en voor goede instructies op de werkvloer over hoe om te gaan met gegevensverwerking en datalekken. Een goed en compleet privacybeleid helpt u hierbij.

Heeft u na het lezen van dit artikel meer vragen over het voorkomen van een datalekken, beschermen van uw gegevens of heeft u al een datalek? Neem contact op met ons team van experts, zo bent u verzekerd van de beste gespecialiseerde ondersteuning én een scherpe aanpak.

Vragen of opmerkingen?

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

Chat openen
1
Vragen? Stel ze nu, wij beantwoorden ze graag!