Datalekken

Een datalek is een privacyincident, waarbij er toegang is tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Ook het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens valt binnen de categorie datalekken.

Wat zijn persoonsgegevens?

De AVG benoemt persoonsgegevens als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Het gaat om informatie die direct over iemand gaat, maar ook om informatie die indirect naar een persoon te herleiden is, bijvoorbeeld door meerdere persoonsgegevens met elkaar te combineren.

De officiële definitie van persoonsgegevens vind je in artikel 4, lid 1, AVG.

Voorbeelden datalekken

Bij een datalek kun je denken aan:

  • het verlies van een USB-stick met niet versleutelde persoonsgegevens
  • een e-mail met persoonsgegevens die naar de verkeerde ontvanger is verzonden
  • in de printer een blad laten liggen waar persoonsgegevens van een ander op staan
  • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt
  • het zien van persoonsgegevens van anderen in een applicatie, e-mail, Teams of op een portal die je niet zou moeten zien
  • inzage in een medisch dossier door een onbevoegde medewerker

Acties bij een datalek

Wanneer je als organisatie te maken krijgt met een datalek is het van belang snel te handelen om het datalek te stoppen of de gevolgen van het datalek te beperken. Het betreft ten slotte de privacy van klanten, patiënten of werknemers.

De website van de Autoriteit Persoonsgegevens beschrijft welke stappen van belang zijn bij een datalek: Datalek? Dit moet u doen | Autoriteit Persoonsgegevens

Het kan nodig zijn een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Dit hangt af van de impact van het datalek op de slachtoffers. De organisatie waar het datalek heeft plaatsgevonden maakt zelf een risico-inschatting om te bepalen of een melding noodzakelijk is. Dit geldt ook voor het informeren van de slachtoffers over het datalek.

Meer informatie: Datalek: wel of niet melden | Autoriteit Persoonsgegevens

Datalekproces binnen organisaties

Vanuit de AVG is elke organisatie verantwoordelijk voor een goede beveiliging van persoonsgegevens. Het snel en juist handelen bij een datalek hoort daar bij. Elke organisatie zal dan ook een datalekproces hebben. Zorg dat je als werknemer op de hoogte bent van dit proces zodat je weet wat je kunt doen en bij wie je terecht kunt in het geval van een datalek.