Wat is een datalek en wanneer moet ik een datalek melden?

17 augustus 2021 - ABN AMRO

Leestijd: ca. 6 minuten

Een datalek kan de privacy van klanten, medewerkers en andere gebruikers schaden. Recent overkwam dit bijvoorbeeld de GGD en Allekabels.nl, waardoor gegevens van miljoenen mensen op straat lagen. Maar wat is een datalek precies? En wanneer moet u een datalek melden?

Cybercriminelen wisten bij Allekabels.nl een database met klantgegevens te stelen. De webshop informeerde daarover in eerste instantie 5.000 klanten. Onderzoek door RTL Nieuws wees uit dat het ging om de gegevens van maar liefst 3,6 miljoen (!) mensen. Het betrof onder andere 2,6 miljoen e-mailadressen en wachtwoorden.

Het datalek bij de GGD betrof datadiefstal door twee medewerkers. Zij zouden tegen betaling persoonsgegevens van miljoenen Nederlanders hebben aangeboden. Het ging om gegevens uit CoronIT over het test- en vaccinatieproces en om gegevens uit HPZone, het elektronisch dossier voor bron- en contactonderzoek.

Wat is een datalek?

Een datalek leidt tot ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Daarnaast kan het gaan om het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens. Betrokken klanten of andere gebruikers kunnen hierdoor schade leiden.

Wanneer is er sprake van een datalek?

Dat er bij Allekabels en de GGD sprake was van een datalek staat vast. In andere situaties is het soms lastiger om dit vast te stellen. De Autoriteit Persoonsgegevens (AP) beschrijft drie situaties waarin er sprake is van een datalek:

  • Inbreuk op de vertrouwelijkheid: er is sprake van onbevoegde of onopzettelijke openbaring van of toegang tot persoonsgegevens. Het gaat bijvoorbeeld om toegang tot een database met e-mailadressen.

  • Inbreuk op de integriteit: er vindt een onbevoegde of onopzettelijke wijziging van persoonsgegevens plaats.

  • Inbreuk op de beschikbaarheid: hiervan is sprake bij onbevoegd op onopzettelijk verlies van toegang tot of vernietiging van persoonsgegevens.

Let op: de term ‘datalek’ komt niet voor in de privacywet: de Algemene verordening gegevensbescherming (AVG). In plaats daarvan staat er beschreven dat het gaat om een ‘inbreuk in verband met persoonsgegevens’.

De privacywet beschrijft een datalek letterlijk als:

’een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’ (artikel 4, punt 12, AVG).’

Voorbeelden van datalekken die u moet melden

Benieuwd of u een datalek moet melden bij de Autoriteit Persoonsgegevens? Dat is bijvoorbeeld in de volgende drie situaties het geval:

  • Cyberaanval gericht op persoonsgegevens: hackers dringen binnen in computers, systemen of uw netwerk. Als daar persoonsgegevens beschikbaar zijn, is er sprake van een datalek.

  • Besmetting met ransomware waarbij persoonsgegevens zijn betrokken: zodra cybercriminelen met ransomware persoonsgegevens ontoegankelijk maken spreekt de Autoriteit Persoonsgegevens van een datalek.

  • Verlies van een USB-stick met niet-versleutelde persoonsgegevens: een USB-stick met niet-versleutelde persoonsgegevens leidt bij verlies tot een datalek, dus de plicht om dit te melden. Dit geldt ook voor andere gegevensdragers, inclusief papieren dossiers.

Naast deze punten, die vooral met cyber te maken hebben, kan bijvoorbeeld het verkeerd versturen van een e-mail/brief of het inzien van gegevens van andere klanten via bijvoorbeeld een portal, ook worden gezien als datalek. De praktijk leert dat dit regelmatig bij diverse ondernemingen voorkomt. Ook een Excel-document met klantgegevens dat bij de verkeerde persoon terechtkomt is al gelekte data.

Datalek melden bij de Autoriteit Persoonsgegevens (AP)

Is er sprake van een datalek? Dan moet u in actie komen. Ondernemingen die te maken krijgen met een datalek moeten dat mogelijk melden bij de Autoriteit Persoonsgegevens. Bepaal dit aan de hand van 5 stappen:

  1. Analyseer en creëer overzicht: analyseer de situatie en stel vast wat er is gebeurd. Is er sprake van gelekte, vernietigde of gewijzigde gegevens? Onderzoek wie er toegang heeft (gehad) en om welke persoonsgegevens het gaat.

  2. Beperk de schade: bepaal welke maatregelen u meteen kunt nemen om het datalek te dichten of de schade te beperken. Neem die maatregelen onmiddellijk, bijvoorbeeld door een gestolen laptop op afstand te wissen. Schat bovendien het risico van het datalek in.

  3. Meld binnen 72 uur, het liefst direct: beoordeel of u het datalek moet melden. Gebruik de Voorbeeldlijst wel/niet melden datalek van de Autoriteit Persoonsgegevens . Moet u het datalek melden? Doe dat zo snel mogelijk, in ieder geval binnen 72 uur. Meld het datalek met het Meldformulier datalekken .

  4. Melden bij betrokkenen: lopen de rechten en vrijheden van betrokkenen een hoog risico? Meld het datalek dan ook zo snel mogelijk bij de betrokkenen.

  5. Datalek registreren: registreer het datalek in het verplichte datalekregister. Dit moet u ook doen als u het datalek niet hoeft te melden bij de Autoriteit Persoonsgegevens en als u de betrokkenen niet op de hoogte hoeft te brengen.

Let op: meldt u het datalek niet bij de Autoriteit Persoonsgegevens, terwijl dit wel had gemoeten? De autoriteit kan ondernemingen die de AVG-wet overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.

Cyber Veilig & Zeker

Verlaag uw cyberrisico's en verhoog uw online veiligheid. Cyber Veilig & Zeker biedt complete cyberbescherming voor zakelijk Nederland.

Lees meer
Lees meer ondernemersverhalen en tips over Cyberveiligheid
Er zijn helaas geen artikelen beschikbaar over dit onderwerp.
Benieuwd hoe uw onderneming scoort op cyberveiligheid?

Door de snelle ontwikkelingen op het gebied van cybercriminaliteit, kan het lastig zijn te achterhalen welke risico's uw onderneming loopt. Benieuwd hoe uw onderneming scoort op cybersecurity en welke verbetertips er zijn? Doe de Cyberrisicoscan en ontdek het meteen.

Lees meer