Precies! Alle gebeurtenissen waarbij de Beschikbaarheid, Integriteit of Vertrouwelijkheid van gegevens mogelijk in gevaar zijn gebracht zijn incidenten, maar alleen als hier persoonsgegevens bij betrokken zijn is het een datalek. Alle datalekken zijn dus incidenten, maar niet alle incidenten zijn datalekken.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo'n inbreuk valt onder een datalek.
Er is sprake van een datalek wanneer een hacker toegang krijgt tot de database van een service of bedrijf, die privégegevens van gebruikers bevat. Deze gegevens kunnen variëren van gebruikersnamen en wachtwoorden tot burgerservicenummers, adressen en zelfs betalingsgegevens.
Er zijn vele mogelijke manieren waarop (persoons)gegevens vanuit een bedrijf (al dan niet per ongeluk) gelekt kunnen worden. Wanneer het lekken van deze informatie kan leiden tot risicoKans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie.
Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.
Have I Been Pwned? is een gratis dienst waarmee je kunt zien of jouw gegevens publiekelijk bekend zijn geworden bij een gemeld datalek. Deze website is de meest gebruikte en meest complete dienst voor het controleren van gegevens die mogelijk betrokken zijn bij een datalek.
Via mijnnummervermelding.nl kunt u inzien of uw gegevens door uw telecomaanbieder worden verstrekt aan telefoongidsen en nummerinformatiediensten. U kunt ook uw voorkeuren wijzigen.
Je gaat naar de website https://haveibeenpwned.com/ en vult daar je e-mailadres of gebruikersnaam in en in een mum van tijd weet je of de gegevens van jouw account nog veilig zijn… of niet! Let op!
Een datalek is ernstig als het lek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Is dit niet waarschijnlijk? Dan hoeft u het datalek niet te melden (u moet het dan overigens wel opnemen in uw register datalekken).
3. Wie een datalek moet melden. Volgens de Algemene verordening gegevensbescherming (AVG) moet de verwerkingsverantwoordelijke een datalek melden.
Meldplicht datalekken
'Het is heel belangrijk dat er op tijd wordt gehandeld. Je bent namelijk verplicht om binnen 72 uur een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Noteer dus in je rapport de deadline van het al dan niet melden van de datalek bij de AP.
Kijk dan op www.politie.nl/checkjehack. Daar kun je jouw e-mailadres invoeren. Als de gegevens inderdaad zijn gestolen, krijgen je een mail in je inbox. "Word geen slachtoffer en doe vandaag nog de check", raadt de politie aan.
Op grond van de AVG moet u een datalek melden bij de Autoriteit Persoonsgegevens (AP) als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Ook als een datalek leidt tot 'een aanzienlijke kans' op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht.
Als je slachtoffer bent geworden van oplichting, doe dan aangifte bij de politie en informeer je bank als er geld ontvreemd is. Je kunt daarnaast een klacht indienen bij de verantwoordelijke voor het datalek (in dit geval de GGD) en ook bij de Autoriteit Persoonsgegevens.
Hoe het werkt is simpel. Je vult je e-mailadres, wachtwoord of telefoonnummer in en de website scant het internet om te zien of deze gegevens voorkomen in een datalek.
Berichten die je niet herkent zijn een teken dat een hacker toegang tot je account zou kunnen hebben. Als uw contactpersonen melden dat ze spam ontvangen van jouw e-mailadres, is dat een rode vlag die aangeeft dat je e-mail mogelijk is gehackt en dat je gegevens in gevaar zijn.
Op de website van de politie vind je een functie waarmee je kunt controleren of je e-mailadres op in beslag genomen gegevens van de politie staat. Als dat zo is, krijg je binnen een paar minuten een e-mail van de politie. Als je adres niet voorkomt in deze gegevens, krijg je ook geen mail.
Op de website haveibeenpwned.com kan je controleren of jouw e-mailadres betrokken is geweest bij een datalek. Als dat zo is, is het raadzaam om het wachtwoord van de desbetreffende dienst te veranderen.
Iemand anders misbruikt dus hoogstwaarschijnlijk uw nummer, meestal met kwade bedoelingen. Dit verschijnsel wordt spoofing genoemd. Bij spoofing met telefoonnummers nemen de oplichters een ander telefoonnummer aan. Oplichters maken hierbij slim misbruik van de werking van het mobiele telefoonnetwerk.
Smartphones hebben al onze privéaccounts en -gegevens op een enkele, handige locatie samengebracht, waardoor onze telefoons het perfecte doelwit zijn voor een hacker. Alles, van bankieren tot e-mail en sociale media, is gekoppeld aan je telefoon.
Word je gebeld door een onbekend buitenlands nummer, dan is het eerste advies, niet opnemen. Zolang jij niet opneemt, maak je geen kosten. Als je zeker weet dat het een frauduleus nummer is, kan je naar je provider stappen om het nummer te laten blokkeren, zodat jij niet meer gebeld kan worden door dat nummer.
Naast onder meer de NS en VodafoneZiggo zijn er nóg drie bedrijven geraakt: ook klantgegevens van de Nederlandse Golf Federatie, ArboNed en vervoersbedrijf Trevvel blijken te zijn gelekt. De Autoriteit Persoonsgegevens heeft nog geen totaalbeeld kunnen maken.
U kunt verplicht zijn om het datalek binnen 72 uur te melden bij de AP. Ook kunt u verplicht zijn om de slachtoffers te informeren over het datalek. U beoordeelt zelf of dit het geval is. Hoe u dit doet, leest u bij Datalek: wel of niet melden.
Aansprakelijkheid bij datalekken
Een persoon wiens persoonsgegevens zijn gelekt en daardoor schade heeft geleden, kan recht hebben op een schadevergoeding jegens de verwerkingsverantwoordelijke.
