Dat er verschillende soorten datalekken zijn die allemaal kunnen leiden tot schade, heeft u kunnen lezen in onze vorige blog. In deze blog staan wij stil bij de schade die een datalek kan veroorzaken en in het bijzonder hoe u bepaalt wat de risico’s zijn van het datalek en welke acties u aan de hand daarvan moet ondernemen. Een datalek hoeft overigens niet per definitie grote risico’s met zich mee te brengen en is dus ook lang niet altijd reden voor paniek. U moet wel in actie komen, en dat doet u door allereerst de risico’s van het datalek te analyseren en zo grip te krijgen op de situatie.
Risicoanalyse
Zoals u in stap 1 van ons stappenplan datalekken kunt zien, is het het belangrijkste dat u het datalek onder controle krijgt en een risicoanalyse uitvoert. Op basis van de risicoanalyse kunt u namelijk de vervolgstappen gaan bepalen, dus of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens en aan betrokkenen. Bij de risicoanalyse stelt u zichzelf de volgende vragen:
- Wat is het type datalek? Zijn er persoonsgegevens gelekt, gewijzigd of gewist?
- Hoeveel persoonsgegevens zijn gelekt, wat voor soort persoonsgegevens zijn dat en hoe gevoelig zijn de gelekte persoonsgegevens?
- Hoe eenvoudig kunnen betrokkenen aan de hand van de gelekte persoonsgegevens worden geïdentificeerd?
- Hoe ernstig zijn de consequenties van het datalek voor de betrokkenen?
- Hebben de betrokkenen bijzondere kenmerken? Zijn het bijvoorbeeld kinderen?
- Heeft de verantwoordelijke bijzondere kenmerken? Is het bijvoorbeeld een zorginstantie?
- Hoeveel betrokkenen zijn geraakt door het datalek?
- Zijn er bijzondere persoonsgegevens gelekt, zoals medische gegevens of gegevens over iemands ras of etniciteit?
Leidt het datalek tot een risico voor betrokkenen?
Wanneer het datalek een risico voor betrokkenen met zich meebrengt, moet u het datalek melden aan de Autoriteit Persoonsgegevens. U hoeft dus niet alle datalekken te melden, maar alleen de datalekken die daadwerkelijk een risico met zich meebrengen. Dit kunt u beoordelen aan de hand van de bovenstaande punten. Over het algemeen kunt u als uitgangspunt nemen dat des te meer persoonsgegevens zijn gelekt en des te gevoeliger deze zijn, des te groter het risico en de impact kan zijn. Bij twijfel, adviseren wij u toch om het datalek te melden. De Autoriteit Persoonsgegevens gaat niet gelijk maatregelen treffen bij datalekken en kijkt vooral naar u hoe de AVG in uw organisatie heeft geïmplementeerd, hoe ernstig het datalek is en wat u heeft gedaan om het lek te dichten en de schade te beperken.
Leidt het datalek tot een hoog risico voor betrokkenen?
Wanneer het datalek ook tot een hoog risico leidt voor betrokkenen, moet u het datalek ook melden aan de betrokkenen zelf. Van een hoog risico van een datalek is sprake wanneer het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor betrokkenen. Van fysieke schade is bijvoorbeeld sprake wanneer essentiële medische gegevens zijn gewijzigd of verloren zijn gegaan. Materiële schade kan ontstaan wanneer persoonsgegevens zijn gelekt en iemand anders met die gegevens online bestellingen kan plaatsen terwijl de factuur bij iemand anders terechtkomt. Van immateriële schade kan bijvoorbeeld sprake zijn wanneer een datalek heeft geleid tot reputatieschade of discriminatie. In deze gevallen moet u dus extra alert zijn en niet alleen de Autoriteit Persoonsgegevens, maar ook de betrokken personen informeren over het datalek. Hoe een melding aan de Autoriteit Persoonsgegevens in zijn werk gaat en hoe u betrokkenen moet informeren over het datalek, bespreken wij in onze volgende blog.
Vragen rondom datalekken en hoe u er het beste mee om kan gaan? Neem contact op met een van onze specialisten via +31 (0) 76 521 35 36.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan