Wat is een datalek?
Wat is een datalek? Volgens de privacywet of AVG wordt een datalek als volgt gedefinieerd: "Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens". Datalekken komen veel vaker voor dan je denkt: een e-mailtje naar het verkeerde e-mailadres, een usb-stick verliezen onderweg. Voor datalekken bestaat een meldplicht: meld ze altijd bij de toezichthouder. Hieronder lees je hoe dat in z’n werk gaat.
Voorbeelden van een datalek
Elke situatie waarin iemand zonder toestemming toegang weet te krijgen tot je gegevens is, in theorie, een datalek. Een hacker die inbreekt op je computer is een bekend voorbeeld. Maar denk ook eens aan een medisch dossier dat je in de trein laat liggen. Of een e-mail die je per ongeluk naar de verkeerde partij verstuurt. Een pakketje dat je kwijtraakt. Een brief die je bij het oud papier stopt in plaats van in de papierversnipperaar. Toch is het antwoord op de vraag ‘Wat is een datalek?’ iets genuanceerder, volgens de privacywet of Algemene Verordening Gegevensbescherming (AVG).
Wanneer is er sprake van een datalek?
Volgens de privacywet is er pas sprake van een datalek als het gaat om persoonsgegevens: gegevens die herleidbaar zijn naar een persoon. Bijvoorbeeld gegevens over je klanten, medewerkers, leveranciers of partners. Daarbij kun je denken aan naw-gegevens (namen, adressen, telefoonnummers), maar ook aan financiële persoonsgegevens, medische persoonsgegevens of andere gevoelige persoonsgegevens.
Wet Meldplicht datalekken
In de privacywet wordt ook een meldplicht voor datalekken genoemd. Die stelt dat je een datalek altijd moet melden bij de Autoriteit Persoonsgegevens. Dat is de toezichthouder die toeziet op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. Het enige datalek is het andere niet. Een datalek rond medische dossiers is veel ernstiger dan een datalek van adresgegevens van de plaatselijke voetbalvereniging.
Meld een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens!
Je bent wettelijk verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Zo niet, dan volgen er sancties. Zorg er daarom voor dat je een calamiteitenplan of stappenplan voor datalekken opstelt binnen je bedrijf. Zo weet iedereen binnen je bedrijf welke procedure ze moeten volgen als er sprake is van een datalek.
Stappenplan bij datalekken
Een stappenplan Datalekken beschrijft de verschillende stappen die je neemt als er sprake is van een datalek. Dit staat erin:
- wat is een datalek;
- wanneer is sprake van een datalek;
- wanneer is melding verplicht;
- binnen welke termijn moet je het lek melden;
- bij welke instantie moet je het lek melden;
- hoe informeer je de toezichthouder;
- wanneer moet je ook betrokkenen informeren;
- hoe en waar registreer je het datalek intern;
- wie is er eindverantwoordelijk binnen de organisatie.
Stel zelf je stappenplan Datalekken op in onze documentenshop
Zelf een stappenplan voor datalekken maken? Dat kan direct online in onze documentenshop. Door een paar vragen te beantwoorden, maak je het stappenplan op maat voor datalekken binnen jouw bedrijf. Stel hier je stappenplan Datalekken op. Of neem hier contact met ons op en wij kijken graag met je mee.
Heb je een vraag over privacy?
Je kunt ons altijd bellen voor advies, op telefoonnummer 088 3279 834.
Meer informatie
Zo helpen we je
Heeft deze informatie je geholpen?
We horen graag je feedback. Daarmee help je ons om deze informatie verder te verbeteren.