Wat is een datalek?

In de volksmond “een datalek”, in AVG-termen een “inbreuk in verband met persoonsgegevens”. Geregeld komt er een datalek, klein of groot, voorbij in het nieuws. Maar wanneer heb je te maken met een datalek? En moet je dat datalek dan ook melden aan de Autoriteit Persoonsgegevens? Ik leg het je haarfijn uit.

Wat is een datalek?

Datalek is een term die niet in de wet wordt uitgelegd. Wat we ermee bedoelen is wél uitgelegd in de Algemene verordening gegevensbescherming (AVG). Letterlijk staat daar:

“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”

Een hele mond vol. Als we de tekst ontleden, dan staat er eigenlijk het volgende:

  1. Er heeft een inbreuk op de beveiliging plaatsgevonden;
  2. Daardoor is iets gebeurd wat niet zo bedoeld was, het was per ongeluk of onrechtmatig;
  3. Door die gebeurtenis zijn persoonsgegevens ofwel verloren gegaan, vernietigd, gewijzigd of ingezien door iemand, terwijl dat niet de bedoeling was;
  4. Dit kan betrekking hebben op persoonsgegevens in verschillende stadia. Namelijk terwijl het ergens opgeslagen stond, of doorgestuurd werd, of op een andere manier werd verwerkt.

Belangrijk is natuurlijk wel dat de AVG überhaupt van toepassing was op deze verwerking.

Het datalek moet je soms melden

Niet alle datalekken hoeven gemeld te worden. Soms is de impact van een datalek namelijk zó klein, dat volstaan kan worden met het intern nemen van een aantal maatregelen. Om te beoordelen of sprake is van een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens of aan de betrokkenen van wie de gegevens zijn gelekt, wordt altijd naar het risico gekeken.

De verwerkingsverantwoordelijke dient zich af te vragen welk risico het datalek voor de betrokkenen met zich heeft gebracht en hoe groot dat risico is. Deze afweging is niet altijd even objectief en daardoor niet gemakkelijk te maken. Om handvatten te bieden, heeft de AP daarom een voorbeeldlijst gemaakt. Hieruit volgt dat wanneer gevoelige gegevens (zoals medische dossiers) zijn ingezien door onbevoegde personen, vaak sprake is van een hoog risico.

Het datalek moet je altijd registreren

Datalekken moeten altijd, hoe groot of hoe klein ook, intern geregistreerd worden in een register of overzicht. Dit kan simpelweg in een Excel, maar ook in meer uitgebreide systemen. Denk aan een ticketsysteem of afwijkingenregister. Benoem daarbij altijd (1)wat er gebeurd is, (2)wanneer het gebeurd is, (3)hoe het opgelost is, (4)hoe het in de toekomst voorkomen wordt en (5)of het datalek gemeld is.

Consequenties

Het is alom bekend dat de AVG fikse boetes kent. Ook voor datalekken geldt dat. Deze kunnen opgelegd worden vanwege het feit dat de beveiliging onvoldoende was, waardoor een datalek plaats kon vinden. Maar ook op het niet of niet goed intern registreren ervan. En uiteraard, het niet melden ervan terwijl dit wel verplicht was.

Genoeg reden voor een goed privacybeleid en een strakke datalekprocedure.

Vragen over dit blog? Ideeën of opmerkingen?

"*" geeft vereiste velden aan

Laat ons weten wat je bezighoudt. Heb je een vraag voor ons? Stel hem gerust.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.