Datalekken zijn een veelvoorkomend probleem binnen organisaties en kunnen op verschillende manieren ontstaan. Ze gebeuren vaak onbedoeld door menselijke fouten, zoals het verkeerd intypen of versturen van een e-mail naar de verkeerde ontvanger, of het kwijtraken van fysieke documenten of elektronische apparatuur. In sommige gevallen kan een datalek echter ook het gevolg zijn van kwaadwillende acties, zoals een cyberaanval of diefstal.

Wanneer is er sprake van een datalek? En wat zijn persoonsgegevens?

Een datalek ontstaat wanneer er toegang is verkregen tot persoonsgegevens zonder dat dit toegestaan of bedoeld was, bijvoorbeeld door een beveiligingsinbreuk. Bij vernietiging, verlies, wijziging of verstrekking van persoonsgegevens door zo'n inbreuk wordt ook gesproken van een datalek. Persoonsgegevens worden door de Algemene Verordening Gegevensbescherming (AVG) gedefinieerd als alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit kan bijvoorbeeld gaan om namen, telefoonnummers, foto’s en BSN-nummers, maar ook om informatie zoals iemands ras, medische gegevens of lidmaatschap van een vakbond.

Datalek? Wat moet je doen?

Als je met een datalek te maken krijgt, dan heb je specifieke verplichtingen. Wanneer je deze verplichtingen niet naleeft, riskeer je hoge boetes van de Autoriteit Persoonsgegevens (AP). De boetes kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Hoe voorkom je hoge boetes?

Ondanks deze strenge regelgeving, is de AP niet snel geneigd een boete op te leggen als je kan aantonen dat je de juiste stappen onderneemt om datalekken te voorkomen en correct handelt wanneer een datalek zich voordoet.

Correct handelen bij een datalek betekent dat je zo snel mogelijk maatregelen moet nemen om het lek te stoppen en de schade te beperken. Daarnaast moet je controleren of het lek gemeld moet worden bij de AP. Als er een meldplicht is, moet het lek binnen 72 uur na ontdekking worden gemeld. Ook moet je beoordelen of het lek aan de betrokken personen moet worden gemeld, en als dit het geval is, moet dit onmiddellijk, zonder uitstel, gebeuren. Bovendien moet je elk datalek opnemen in een datalekregister, een verplicht document waarin je alle datalekken binnen jouw organisatie vastlegt en bijhoudt.

Hulp nodig bij een datalek of wil je meer informatie over de AVG?

Kijk gerust de video of neem contact op met mij als je te maken krijgt met een datalek. Ik kan adviseren of een lek wel of niet gemeld moet worden en helpen bij het indienen van de melding bij de AP.