Meteen naar de inhoud

Data breach (Datalek)

Een data breach is een lek van gegevens die opgeslagen zijn op een computer of server. Dit kan een zeer ernstige zaak zijn als de gegevens gevoelig zijn. Een data breach kan worden veroorzaakt door een externe hacker die probeert toegang te krijgen tot informatie die niet voor hen bestemd is.

De informatie kan vervolgens worden gebruikt voor een aantal verschillende doeleinden, waaronder het stelen van geld of het verzenden van spam.

Andere manieren waarop een data breach kan gebeuren is door een interne medewerker die toegang heeft tot de informatie die niet voor hen bestemd is. Dit kan ook gebeuren door een fout in de beveiligingssoftware of door een slechte beveiliging van de server.

Het is belangrijk dat bedrijven hun data goed beveiligen om een data breach te voorkomen. Hierdoor kunnen bedrijven hun klanten en personeel beschermen tegen identiteitsdiefstal of andere vormen van misbruik van de informatie.

Bedrijven moeten ook regelmatig hun systemen controleren om te zien of er lekken zijn. Als er een lek wordt gevonden, is het belangrijk dat bedrijven dit onmiddellijk melden bij de autoriteiten.

Als je denkt dat je slachtoffer bent geworden van een data breach, is het belangrijk dat je onmiddellijk contact opneemt met de autoriteiten. Zij zullen je informeren over de manier waarop je je gegevens kunt beschermen.

Wat je moet doen als je een datalek herkent in uw bedrijf

  • Neem onmiddellijk contact op met uw IT-team.
  • Voer een volledig onderzoek uit naar de omvang en impact van de inbreuk.
  • Controleer of er persoonlijke gegevens zijn gestolen en bepaal of er maatregelen moeten worden genomen.
  • Zorg ervoor dat de omvang van de datalekbeveiligingsstrategie duidelijk is.
  • Neem contact op met de relevante autoriteiten en meld het lek.
  • Neem contact op met betrokkenen en bied eventuele slachtoffers voorzieningen aan.
  • Wees voorbereid op toekomstige datalekken en erken dat data-integriteit een prioriteit is.

Guidelines meldplicht datalekken

De Guidelines meldplicht datalekken, en dan met name hoofdstuk IV, kunnen u helpen te bepalen of u een datalek moet melden aan de Autoriteit Persoonsgegevens.

Hoog risico

Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht datalekken.

Objectief beoordelen risico’s datalek

Soms is het risico heel duidelijk. Bijvoorbeeld wanneer er volledige medische dossiers zijn gelekt. Maar vaker is het een inschatting. Ook dan moet u de situatie objectief beoordelen. Onderstaande factoren helpen om uw afweging objectief te maken:

De aard van de inbreuk
Zijn er persoonsgegevens gewist, gewijzigd of gelekt? Voorbeeld: het lekken van medische persoonsgegevens aan een onbevoegde, heeft andere gevolgen dan wanneer deze gegevens verloren zijn gegaan.

De aard, gevoeligheid en omvang van de persoonsgegevens
Hoe gevoeliger de gegevens, hoe groter het risico op schade. Houd ook rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Want juist een combinatie van gegevens kan de impact groter maken.

Gemak waarmee personen kunnen worden geïdentificeerd
Kun je op basis van het datalek eenvoudig zien om wie het gaat?

Ernst van gevolgen voor personen
De gevolgen van een datalek kunnen ernstig zijn. Vooral wanneer het datalek kan leiden tot bijvoorbeeld identiteitsdiefstal of reputatieschade. Het risico wordt kleiner wanneer de gegevens in handen zijn gekomen van een betrouwbare ontvanger die er niet op uit is om schade te veroorzaken.

Bijzondere kenmerken van de persoon
Wanneer gegevens van kwetsbare personen betrokken zijn bij het datalek, kunnen zij een groter risico op schade lopen. Bijvoorbeeld kinderen.

Bijzondere kenmerken van uw organisatie
Ter illustratie: de risico’s bij een datalek van een ziekenhuis zullen groter zijn dan bij een datalek met een mailinglijst van een krant.

Het aantal getroffen personen
Over het algemeen kan een datalek grotere gevolgen hebben naarmate er meer personen bij betrokken zijn. Een inbreuk kan echter zelfs voor één persoon ernstige gevolgen hebben.

U moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Wanneer u dat niet doet bent u waarschijnlijk in overtreding.