Wat is een datalek?

Datalek

Het klinkt als iets waar u liever nooit iets mee te maken wil hebben: een datalek. Toch komt dit vervelende fenomeen vaker voor dat u misschien denkt. De angstaanjagende verhalen van grote aantallen persoonsgegevens die op straat komen te liggen, u wil er liever niet aan denken. Maar wat is een datalek precies en nog belangrijker: hoe kunt u een datalek voorkomen?

Wat is een datalek precies?

Laten we beginnen met de belangrijkste vraag beantwoorden: wat is een datalek? Bij een datalek gaat het om verlies, vernietiging, wijziging of delen van persoonsgegevens zonder dat dat de bedoeling was. Het gaat dus om een inbreuk op de beveiliging van persoonsgegevens.

Die persoonsgegevens zijn niet beschermd geweest, onrechtmatig verwerkt of mogelijk verloren. Een veelvoorkomend voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Maar ook het doorsturen van bepaalde persoonsgegevens naar een verkeerde ontvanger is een vorm van een datalek.

Zoals u misschien al wel op kunt pikken uit de uitleg, worden de meeste datalekken veroorzaakt door menselijke fouten.

Wat zegt de AP erover?

De AP (Autoriteit Persoonsgegevens) is de Nederlandse gegevensbeschermingsautoriteit die toezicht houdt op het naleven van de AVG (Algemene Verordening Gegevensbescherming). In de AVG is de exacte definitie van een datalek niet opgenomen. Er wordt gesproken over een ‘’inbreuk in verband met persoonsgegevens’’.

De AP heeft geprobeerd dit duidelijker te omschrijven. Bij een datalek gaat het om:

  • Onbedoelde openbaring van of toegang tot persoonsgegevens; of
  • Vernietiging, wijziging, verlies of vrijkomen van persoonsgegevens.

Ook al noemen we het dus een datalek, het gaat niet alleen om het lekken van gegevens, maar ook om andere onbedoelde, onrechtmatige verwerkingen.

Een datalek, wat nu?!

Datalekken komen in allerlei verschillende soorten en maten. Zo zijn sommige datalekken zo klein, dat ze voor (bijna) geen schade zorgen. Grote datalekken daarentegen, hebben soms veel impact op een grote groep mensen.

Als organisatie bent u dan verplicht de schade zoveel mogelijk te beperken zodra u afweet van het datalek. Het kan dan zo zijn dat de betrokkenen (de mensen waarvan er persoonsgegevens zijn gelekt) op de hoogte gesteld moeten worden.

Datalekken melden

Alle datalekken, hoe groot of klein ze ook zijn, moeten worden gedocumenteerd in een datalekregister. Ernstige gevallen moeten binnen 72 uur gemeld worden bij de AP.

Wanneer een datalek daar ernstig genoeg voor is? Als het een risico vormt voor de rechten en vrijheden van de betrokkenen.

Datalek voorkomen: zo doet u dat

Omdat een menselijke fout vaak de oorzaak is van een datalek, zijn ze lastig te voorspellen en voorkomen. Toch zijn er een paar maatregelen die u kunt nemen om de kans op een datalek te verkleinen.

Onderneem de volgende acties als u een datalek voorkomen wil:

  • Bespreek regelmatig met uw collega’s of werknemers de verwerking van persoonsgegevens in uw bedrijf.
  • Geef nooit zomaar wachtwoorden, toegang of gegevens aan derden (ook niet aan een zzp’er of leverancier die voor u werkt).
  • Zorg dat u goed op de hoogte bent van de wetgeving rond persoonsgegevens: de AVG.
  • Zorg voor een werkovereenkomst als een derde partij voor uw bedrijf persoonsgegevens gaat verwerken. Andersom geldt: bent u zzp’er? Check dan bij elke nieuwe opdracht of u met persoonsgegevens van uw opdrachtgever werkt. Ja? Sluit dan een verwerkersovereenkomst af.
  • Investeer in goede ICT-beveiliging uitbesteden: gebruik sterke wachtwoorden en stel multi factor authentication.

Liever sparren met een IT-consultant? Grip op IT kijkt graag mee naar de beveiliging van uw bedrijf. Neem contact met ons op.