Wat is een datalek?

De Algemene verordening gegevensbescherming (AVG) spreekt van een ‘inbreuk in verband met persoonsgegevens’ (datalek) wanneer een inbreuk op de beveiliging leidt tot het verlies, of het ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Er is iets gebeurd met de persoonsgegevens terwijl dat niet de bedoeling was.

Voorbeelden van datalekken:

  • Een hacker verkrijgt toegang tot persoonsgegevens.
  • Het versturen van een e-mailbericht waarin alle e-mailadressen in het CC-veld staan, in plaats van het BCC-veld.
  • Een werknemer heeft per ongeluk de salarisstrook van een andere werknemer ontvangen.

Wat moet je doen in geval van een datalek?

Naast het feit dat je zo snel mogelijk het datalek moet oplossen, en maatregelen moet treffen om ervoor te zorgen dat het datalek niet nog een keer gebeurt, zijn er ook verschillende administratieve handelingen die gedaan moeten worden:

  • Elk datalek intern registreren in een datalekregister.
  • Datalek melden bij de Autoriteit Persoonsgegevens in geval van een risico voor de betrokkene(n).
  • Datalek melden aan betrokkene(n) in geval van een hoog risico voor de betrokkene(n).

Welke informatie staat in een datalekregister?

Het ligt voor de hand, maar in het datalekregister staat alle informatie over een of meerdere datalekken die zich hebben voorgedaan binnen de organisatie (of bij de verwerker van de organisatie). Het is gebruikelijk om in ieder geval onderstaande informatie in het datalekregister op te nemen:

  • Omschrijving van het datalek
  • Categorieën persoonsgegevens en betrokkenen
  • Mogelijke gevolgen
  • Partijen die betrokken zijn bij het datalek
  • Is het datalek wel/niet gemeld aan de Autoriteit Persoonsgegevens en betrokkenen

Op welke manier kun je het datalekregister bijhouden?

In de AVG is niet vastgelegd op welke wijze organisaties een datalekregister moeten bijhouden. Er zijn verschillende mogelijkheden:

Wanneer moet je een datalek melden aan de Autoriteit Persoonsgegevens?

Je hoeft niet elk datalek te melden bij de Autoriteit Persoonsgegevens. Een datalek moet aan de toezichthouder gemeld worden indien er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Een datalek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Denk bijvoorbeeld aan financiële gegevens, medische informatie of kopieën van identiteitsbewijzen.

Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur na ontdekking van het datalek, via de website van de Autoriteit Persoonsgegevens gemeld te worden door de verwerkingsverantwoordelijke. Deze termijn start op het moment dat de verwerkingsverantwoordelijke op de hoogte raakt van het datalek. Maak daarom ook afspraken met je verwerkers.

Wanneer moet je een datalek melden aan betrokkenen?

Indien het datalek een hoog risico oplevert voor de rechten en vrijheden van betrokkenen moet het datalek zowel aan de toezichthouder als aan de betrokkene(n) gemeld worden. Het melden aan betrokkenen dient meteen te gebeuren.

Een datalek brengt een hoog risico voor betrokkenen teweeg wanneer het privéleven van betrokkenen waarschijnlijk door het lek wordt geschaad. Gevolgen die dan kunnen ontstaan zijn bijvoorbeeld:

  • Identiteitsfraude
  • Discriminatie
  • Reputatieschade

Wanneer kwalitatief ernstige gegevens (zie het vorige kopje) zijn gelekt, is eigenlijk altijd sprake van een hoog risico. Dan moet het datalek dus ook altijd worden gemeld aan de getroffen personen.

Wanneer je de betrokkenen informeert over het datalek, dan is het verstandig om dit schriftelijk (per e-mail of brief) te doen.

Meer informatie ontvangen?

Laat een bericht achter. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat je gegevens achter