Datalek, wat is dat en hoe ga je er mee om

door | 5-sep-2017 | nieuws

In mijn vorige artikel Bescherming van Persoonsgegevens: heeft meer impact dan u denkt heb ik onder andere aangegeven dat u een Datalek binnen 72 uur bij de Autoriteit Persoonsgegevens (AP) moet melden. Dat heeft er voor gezorgd dat ik veel vragen heb gekregen over het fenomeen Datalek.

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Ook fysieke bestanden (bijvoorbeeld een dossier met persoonsgegevens bij het oud papier gezet) vallen onder de meldplicht.

Wat te doen bij een datalek?

Treedt er een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan bent u al sinds 1 januari 2016 verplicht een melding te doen bij de Autoriteit Persoonsgegevens (Meldloket datalekken Autoriteit Persoonsgegevens). Of u wel of niet een melding moet doen, hangt overigens af van de ernst van het datalek.

In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Ook hierbij hangt het van de ernst van het lek af of u dit wel of niet moet doen.

Meldingen datalekken

In 2016 zijn 5.500 datalekken gemeld, In de eerste helft van 2017 is het aantal meldingen al opgelopen tot 4.856 en dit aantal zal naar verwachting alleen nog maar toenemen. Het merendeel van de meldingen waren voor de AP aanleiding om deze te controleren. Daarnaast startte de AP ruim 120 onderzoeken  naar de beveiliging. In vrijwel alle gevallen gaf de AP een waarschuwing.

Datalek en Algemene Verordening Persoonsgegevens

Het is van belang dat alle medewerkers in uw organisatie (aantoonbaar) bekend zijn met wat datalekken zijn en vervolgens ook weten waar en hoe deze datalekken gemeld moeten worden of waar zij advies kunnen krijgen hoe te handelen. De werkwijze vastleggen in een procedure of protocol kan hierbij een goed hulpmiddel zijn. Sterker, het is vanuit de nieuwe Algemene Verordening Persoonsgegevens een verplichting. Want u moet kunnen aantonen welke beheersmaatregelen getroffen zijn om een datalek te voorkomen. Zorg dat uw organisatie hierop is ingericht. Dit voorkomt een mogelijke boete van de AP en daardoor ook reputatie- of imagoschade.

Share This