U bent hier

Organisatie & Leidinggeven
Cybersecurity6. Datalek melden
Voor Organisatie & Leidinggeven

6. Datalek melden

Dit hoofdstuk is eerder verschenen in Themadossier FA Rendement
Publicatiedatum: augustus 2023

Er is bij iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot ongeoorloofde verwerking sprake van een datalek. Een datalek is dus een cyberaanval, maar bijvoorbeeld ook het verlies van een usb-stick, het ergens laten liggen van een dossier of het sturen van een e-mail naar een verkeerd e-mailadres. Is er een kans op privacyschending, dan moet u dit lek verplicht melden bij de Autoriteit Persoonsgegevens (AP).

persoons-gegevens

De Algemene verordering gegevensbescherming (AVG) verplicht u de persoonsgegevens die u verwerkt te beveiligen tegen verlies en onrechtmatige verwerking. Gaat het onverhoopt toch mis, dan moet u de datalek in bepaalde gevallen melden bij de AP. Om de schade te beperken is het belangrijk om snel en efficiënt te handelen. Een datalek heeft immers niet alleen gevolgen voor de personen van wie de gegevens zijn, maar ook voor uw onderneming.

Oorzaak datalek: verkeerd bezorgde post

e-mail

In de top 5 van de meest voorkomende datalekincidenten staat ‘verkeerd bezorgde post’ op nummer 1. Op nummers 2, 3 en 4 staan elk respectievelijk cybercrime (hacking, malware, phishing, et cetera), zoekgeraakte poststukken met daarin persoonsgegevens en e-mails met persoonsgegevens die aan verkeerde ontvangers zijn gestuurd. Dit blijkt uit de ‘Jaarreportage meldplicht datalekken 2021’ van de Autoriteit Persoonsgegevens.

6.1 Wat is een datalek?

Volgens de AVG is een datalek ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.’ Opzet Uw onderneming heeft te maken met een datalek als er op...

6.2 Beveiliging

Een datalek is het gevolg van een beveiligingsprobleem. De oorzaak ligt bijvoorbeeld bij het niet goed beveiligen van bestanden of menselijke fouten. Een datalek kan echter ook ontstaan als de beveiliging van voldoende niveau is, maar beveiligingsmaatregelen worden omzeild. Denk aan een hack van een systeem met persoonsgegevens of diefstal van een...

6.3 Melding datalek

Maar wat als er ondanks alle voorzorgsmaatregelen toch sprake is van een datalek? Uw onderneming heeft dan volgens de AVG de plicht om deze datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP) en in sommige gevallen aan de betrokken personen (zie paragraaf 6.5). Als u verzuimt dit te doen, is dat fout op fout (zie paragraaf 6.6...

6.4 De-escaleren

Als blijkt dat uw gegevens niet (meer) voldoende beschermd zijn, moet u de aangerichte schade zien te de-escaleren en verdere schade zien te voorkomen. Naast de wettelijke verplichting om een datalek te melden bij de AP is het belangrijk om de volgende stappen te ondernemen: Informeer zo snel mogelijk de aangewezen persoon binnen uw organisatie...

6.5 Datalek communiceren

In sommige gevallen moet u ook de betrokkenen (zoals klanten, zakenrelaties of werknemers) informeren over het datalek. Dit hoeft alleen als het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Gevoelig Zoals u in paragraaf 6.3 kon lezen vormt een lek waarbij...

6.6 Verantwoordelijke en verwerker

Zoals u hiervoor kon lezen heeft uw onderneming de plicht om in bepaalde gevallen het datalek binnen 72 uur te melden aan de AP en in bepaalde gevallen ook aan de betrokkenen. Ook als uw onderneming het verwerken van persoonsgegevens uitbesteedt aan een externe partij, blijft zij verantwoordelijk. Duidelijke afspraken met de externe partij zijn...