Wat is een datalek?

Een datalek wordt in artikel 4 lid 12 AVG omschreven als “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én persoonsgegevens verloren zijn gegaan dan wel onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is.

Datalek snel melden

Als een datalek heeft plaatsgevonden, moet u dit uiterlijk binnen 72 uur, nadat u er kennis van heeft genomen, melden. Als de melding aan de Autoriteit Persoonsgegevens (AP) niet binnen 72 uur plaatsvindt moet u motiveren waardoor de vertraging is opgetreden. Een (sub)verwerker moet u, omdat u verwerkingsverantwoordelijk bent, direct informeren zodra hij een datalek heeft geconstateerd, zodat u nog de gelegenheid heeft tijdig de toezichthouder te informeren. Normaal gesproken maakt u hierover afspraken met uw verwerkers in een zogenoemde verwerkersovereenkomst. Het is dan ook raadzaam om met uw verwerker af te spreken dat deze uiterlijk binnen 24 uur aan u het incident of datalek meldt. Als het een datalek betreft, heeft u nog voldoende tijd dit lek te melden bij de Autoriteit.

Twee externe harde schijven met een back-up van 6,9 miljoen donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 zijn zoekgeraakt, schrijft minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport, dinsdag in een Kamerbrief.

10-03-2020

Door een lek in de website van pretpark Walibi was het mogelijk de accountgegevens van 700.000 klanten in te zien. Het ging om gebruikersnamen en in sommige gevallen bijbehorende e-mailadressen. Het lek is inmiddels gedicht.

02-04-2020

Het onderzoeksinstituut voor watertechnologie Wetsus in Leeuwarden is een dikke week gehackt geweest en betaalde de hacker losgeld in bitcoins, meldt de Leeuwarder Courant.

12-02-2020

De Universiteit Maastricht (UM) heeft tussen de 200 duizend en 300 duizend euro betaald aan hackers die het universiteitssysteem met gijzelsoftware hadden vergrendeld. Het bestuur van de universiteit zag zich genoodzaakt te betalen omdat ook de back-up gekaapt was.

24-01-2020

In de eerste helft van 2019 ontving de Autoriteit Persoonsgegevens (AP) 11.906 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Als deze trend zich voortzet, verwacht de AP voor heel 2019 een stijging van 14 procent ten opzichte van 2018. De meeste datalekken worden opnieuw gemeld door de zorgsector.

19-09-2019

#datalekken #zorgsector #toezichthouder

WordPress heeft een plug-in met meer dan 100.000 installaties wegens een beveiligingslek van de eigen downloadpagina verwijderd en adviseert beheerders van WordPress-sites hetzelfde te doen. De ontwikkelaar van de plug-in heeft namelijk aangegeven dat de kwetsbaarheid, waardoor websites in het ergste geval kunnen worden overgenomen, niet zal worden gepatcht.

03-04-2020

#wordpress #security #plugin

Verschil datalek en incident

Er zijn verschillen tussen een datalek en incident. Een voorbeeld van een incident is een beveiligingslek – zoals een zwakke plek in de beveiliging. Het is belangrijk het verschil tussen een datalek en een incident te kennen, omdat een incident niet verplicht gemeld hoeft te worden. Een datalek daarentegen wel.

We spreken van een datalek als er toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens was zonder dat dit de bedoeling is. Enkele voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Een datalek kan ook al ontstaan door gevoelige informatie naar de verkeerde persoon te e-mailen of door naïviteit, zoals het gebruik van te gemakkelijke wachtwoorden. Het wachtwoord 123456 bijvoorbeeld, staat al jaren op nummer één als meest gebruikt.

In sommige situaties dient u ook de betrokkenen bij het datalek te informeren. Deze verplichting is niet nieuw in de AVG en was ook al voorgeschreven in de Wet bescherming persoonsgegevens (Wbp).

Niet melden

Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In andere bewoordingen houdt dit in, dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de kans hierop.

Persoonsgegevens van gevoelige aard

Persoonsgegevens van gevoelige aard zijn:

  • Bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen, gegevens over gezondheid.
  • Burgerservicenummer (BSN).
  • Gegevens die kunnen leiden tot stigmatisering of uitsluiting.
  • Gegevens die onderworpen zijn aan geheimhouding of beroepsgeheim.

Factoren met kans op ernstige nadelige gevolgen

Factoren met kans op ernstige nadelige gevolgen zijn:

  • Omvangrijke verwerkingen of een keten van gegevensverwerking.
  • Vergaande beslissingen die over de gegevens worden genomen.
  • Kwetsbare groepen zoals kinderen, gehandicapten of ex-gedetineerden.

Hoe meldt u een datalek?

Als uw organisatie een datalek moet melden, doet u dit bij via het digitale meldingsformulier op de website van de Autoriteit Persoonsgegevens. U kunt met dit formulier ook een voorlopige melding doen en deze later wijzigen of intrekken.

Datalek melden

Welke informatie moet u verstrekken?

De volgende informatie moet u verstrekken:

  • Contactgegevens en overige algemene informatie.
  • Tijdlijn en de gegevens over het datalek.
  • Persoonsgegevens die betrokken zijn bij het datalek.
  • Bijzondere categorieën van persoonsgegevens.
  • Maatregelen die getroffen zijn voor het datalek plaatsvond.
  • De gevolgen van het datalek.
  • Vervolgacties naar aanleiding van het datalek.

Documentatieplicht

Voor alle incidenten en datalekken (ongeacht of u deze heeft gemeld) geldt dat u deze moet vastleggen in een incidentenregister, waarbij u bovenstaande gegevens vastlegt. Daarbij is het raadzaam vast te leggen wat het meldingsnummer van het datalek is dan wel de reden waarom is besloten af te zien van melding.

Melden aan betrokkenen

Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (ofwel ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene), dient u de betrokkenen direct te informeren. De mededeling aan de betrokkenen bevat een toelichting, in duidelijke en eenvoudige taal, op wat er is gebeurd, op de acties en maatregelen die zijn ondernomen, wat het betekent voor de betrokkene en het advies dat u geeft wat betrokkene het beste kan doen.

Als persoonsgegevens van gevoelige aard, zoals een BSN of financiële gegevens, zijn blootgesteld aan vernietiging, aantasting of versleuteling moet dit gemeld worden aan de betrokkenen.

Let op: in de volgende situaties dient altijd gemeld te worden aan betrokkenen: het betreft lekken van persoonsgegevens van gevoelige aard, bijvoorbeeld burgerservicenummers of financiële gegevens, de persoonsgegevens zijn blootgesteld aan vernietiging of aantasting of de versleuteling van de persoonsgegevens is niet adequaat of niet volledig.

Niet melden aan betrokkenen

De mededeling aan de betrokkenen is niet vereist wanneer een van de volgende voorwaarden is vervuld:

  • U heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling van gegevens.
  • U heeft achteraf maatregelen genomen om ervoor te zorgen dat het bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen.
  • De mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Hier wil ik meer over weten
Home/Compliance/Datalek vs incident

Informatie

Benieuwd wat Moja Rada voor uw organisatie kan betekenen?

Vraag vrijblijvend informatie aan

De door u ingevulde gegevens worden na het versturen direct verwijderd. Voor meer informatie leest u de privacyverklaring. Dit formulier wordt beschermd door reCAPTCHA. Hierbij zijn het Privacybeleid en de Servicevoorwaarden van Google van toepassing.

>> Klik hier om reCAPTCHA-cookies te accepteren voordat u het formulier verzendt. <<

Interessante website

Autoriteit Persoonsgegevens