Bij een datalek hoef je de betrokkenen (de personen van wie je gegevens verwerkt, dat zijn bijvoorbeeld patiënten, cliënten, medewerkers, vrijwilligers, leden etc.) alleen te informeren als het lek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
U meldt een datalek bij de AP. Dit moet u doen binnen 72 uur na kennisname van het lek. De verwerkingsverantwoordelijke moet het datalek melden.
De algemene regel is dat de verwerkingsverantwoordelijke een datalek moet melden. Werkt u in een samenwerkingsverband? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen.
U kunt verplicht zijn om het datalek binnen 72 uur te melden bij de AP. Ook kunt u verplicht zijn om de slachtoffers te informeren over het datalek. U beoordeelt zelf of dit het geval is. Hoe u dit doet, leest u bij Datalek: wel of niet melden.
Daarom is er de meldplicht datalekken. Heeft een bedrijf of overheidsorganisatie een ernstig datalek? Dan moeten zij dit melden bij de Autoriteit Persoonsgegevens via het meldloket datalekken.
Een datalek is er wanneer er onzorgvuldig met persoonsgegevens wordt omgegaan. En sinds begin 2016 is dit strafbaar.
Wil je weten of je überhaupt wel eens in een datalek voorbij bent gekomen? Kijk dan op de website haveibeenpwned.com wanneer jouw gegevens zijn gelekt. Je moet hiervoor wel je e-mailadres invullen, dus als je meerdere e-mailadressen gebruikt, kun je het beste voor elk e-mailadres een aparte zoekopdracht doen.
Als een bedrijfstelefoon verloren raakt of gestolen wordt, is er mogelijk sprake van een datalek. Een zoekgeraakte privételefoon is in de regel geen datalek. Dit komt doordat de AVG niet van toepassing is op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden.
De precieze gevaren hangen onder andere af van welke data is gelekt en of de gegevens gecombineerd worden met die uit andere lekken. De belangrijkste gevaren na een datalek zijn: Identiteitsfraude. Criminelen kunnen jouw identiteit aannemen en op/onder jouw naam zaken afsluiten of criminele activiteiten uitvoeren.
In 2022 hebben 83% van de organisaties in de studie te maken gehad met 1 of meer datalekken. De kosten van een datalek? Gemiddeld 4.2 miljoen euro. Dit is een groei van 2.6% ten opzichte van 2021.
Wat kan ik doen als mijn data zijn gelekt? Op de website haveibeenpwned.com kan je controleren of jouw e-mailadres betrokken is geweest bij een datalek. Als dat zo is, is het raadzaam om het wachtwoord van de desbetreffende dienst te veranderen.
Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken.
De verwerkingsverantwoordelijke bepaalt de doeleinden waarvoor en de middelen waarmee persoonsgegevens worden verwerkt. Als uw onderneming/organisatie dus beslist „waarom” en „hoe” persoonsgegevens moeten worden verwerkt, is zij de verwerkingsverantwoordelijke.
Net als in de afgelopen jaren worden de meeste datalekken veroorzaakt doordat persoonsgegevens naar een verkeerde ontvanger gaan. De stijging van het aantal meldingen vanuit de overheid komt hoofdzakelijk door dit type datalek. In 2020 ontving de AP 1.173 meldingen over hacking, malware1 of phishing2-incidenten.
“Haveibeenpwned.com” is een website, gelanceerd door beveiligingsspecialist Troy Hunt, waarop je als surfer zelf kan testen of je e-mailadres en wachtwoord achterhaald zijn uit één van de opgespoorde databanken met gehackte gegevens.
Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.
Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. In 2020 kreeg de Autoriteit Persoonsgegevens bijna 25.000 meldingen van een datalek.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo'n inbreuk valt onder een datalek.
Er is sprake van een datalek als er een beveiligingsincident heeft plaatsgevonden waarbij persoonsgegevens verloren zijn gegaan ofwel onrechtmatige verwerking van die persoonsgegevens niet is uit te sluiten.
De privacywet eist dat organisaties een datalek melden bij de AP, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor 'de rechten en vrijheden van betrokkenen'. De betrokken personen informeert u alleen als er sprake is van een hoog risico.
Ben je benieuwd of jouw gegevens ooit gelekt werden en terecht zijn gekomen op het 'darkweb'? Je kan dat zelf nakijken via websites zoals Haveibeenpwned of Firefox Monitor. Je kan je e-mailadres ingeven en dan vertelt de tool of je gegevens voorkomen in een gegevenslek.
Begin een gerechtelijke procedure tegen een onderneming of organisatie als u vindt dat zij uw recht op gegevensbescherming heeft geschonden. Dat hoeft u er niet van te weerhouden om, als u dat wilt, een klacht bij de nationale gegevensbeschermingsautoriteit in te dienen.
U moet hiervoor een aparte afweging maken. De wet geeft aan dat u een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad.
Klacht bij de Autoriteit Persoonsgegevens
Als je de privacy van bijvoorbeeld klanten of medewerkers schendt, kunnen zij onder omstandigheden een klacht indienen bij de AP. Voordat ze een klacht indienen bij de AP, moeten ze jou – de potentiële inbreukmakende organisatie – eerst benaderen.
Volgens de AVG wetgeving ben je verantwoordelijk wanneer jij degene bent die bepaalt voor welk doel, er wat er met gegevens gebeurt en hoe. Bijvoorbeeld wanneer jij patiëntgegevens verwerkt voor het kunnen verstrekken van medische zorg of wanneer jij adresgegevens beheert om een product te kunnen afleveren.
