07 Datalekken

Betekenis datalek

De definitie van datalek is volgens de Autoriteit Persoonsgegevens:

“Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.”

Oftewel, er is sprake van een datalek als er persoonsgegevens uit uw bedrijf in handen vallen van mensen die geen toegang tot deze gegevens mogen hebben. Meestal gaat het om computerbestanden maar soms ook om weggegooide papieren documenten. Voorbeelden van digitale datalekken zijn een kwijtgeraakte laptop of USB-stick, een lek in de beveiliging van de website of een gehackte computer.

Meldplicht vastgelegd in wetgeving

Alle bedrijven die een datalek hebben zijn verplicht deze te melden bij het meldloket datalekken bij de Autoriteit Persoonsgegevens. Deze meldplicht is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 is ingegaan.

Gevolgen datalekken

Het grootste gevolg van een datalek is dat de privégegevens van uw klanten mogelijk in handen van derden zijn gevallen. Zij kunnen daar afhankelijk van het type data negatieve gevolgen aan ondervinden. Ook is er risico op reputatieschade. Als het datalek voor de betrokken personen ongunstige gevolgen heeft in de persoonlijke levenssfeer moet u dit aan hen melden.

Boete

Als een datalek niet opzettelijk is, en als er geen sprake van ernstige verwijtbare nalatigheid, dan legt de Autoriteit Persoonsgegevens eerst een zogeheten ‘bindende aanwijzing’ op en moet het bedrijf maatregelen treffen. Gebeurt dit niet, is er sprake van nalatigheid in de databescherming van het bedrijf of wordt niet voldaan aan de meldplicht, dan kan de Autoriteit Persoonsgevens een boete opleggen die kan oplopen tot twintig miljoen euro.

Datalekken voorkomen

Het is natuurlijk het beste om het lekken van data te voorkomen. Door in elk geval te zorgen:

• voor adequate beveiliging van de gegevens;
• dat er zicht is op wie de data beheert en wie er allemaal toegang tot de data heeft. Breng de datastroom in kaart en leg deze vast;
• dat er heldere (werk)afspraken zijn gemaakt met de mensen die de data beheren en met de mensen die toegang hebben tot de data. Zorg dat ze op de hoogte zijn van risico’s en wetgeving;
• voor een draaiboek of protocal datalekken dat in werking treedt als er onverhoopt data is gelekt;
• door overeenkomsten te sluiten met leveranciers die namens u data beheren of bewerken.

Wat te doen bij een datalek

• Ten eerste zorgt u er natuurlijk voor dat de beveiliging van de gegevens aangescherpt wordt en u onderzoekt hoe het lek heeft kunnen ontstaan, om herhaling te voorkomen.
• U hoeft een lek alleen bij de Autoriteit Persoonsgegevens te melden als het lek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Melden moet ook als er een grote kans hierop is. Indien het geval is moet u zich binnen 72 uur bij meldloket datalekken melden.
• U moet ook de betrokkenen inlichten als u hun gegevens heeft gelekt en het lek “ongunstige gevolgen heeft voor de persoonlijke levenssfeer”.

Vragen?

Lees het antwoord op zes veelgestelde vragen over datalekken in de BOVAGkrant. Wilt u meer informatie en /of ondersteuning bij het verkennen van Meldplicht Datalekken, dan kunt u contact opnemen met BOVAG Ledenadvies via (030) 65 95 300.