Wat is een datalek en wanneer moet ik een datalek melden?

Cybercriminelen wisten bij Allekabels.nl een database met klantgegevens te stelen. De webshop informeerde daarover in eerste instantie 5.000 klanten. Onderzoek door RTL Nieuws wees uit dat het ging om de gegevens van maar liefst 3,6 miljoen (!) mensen. Het betrof onder andere 2,6 miljoen e-mailadressen en wachtwoorden.

Het datalek bij de GGD betrof datadiefstal door twee medewerkers. Zij zouden tegen betaling persoonsgegevens van miljoenen Nederlanders hebben aangeboden. Het ging om gegevens uit CoronIT over het test- en vaccinatieproces en om gegevens uit HPZone, het elektronisch dossier voor bron- en contactonderzoek.

Een datalek leidt tot ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Daarnaast kan het gaan om het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens. Betrokken klanten of andere gebruikers kunnen hierdoor schade leiden.

Wanneer is er sprake van een datalek?

Dat er bij Allekabels en de GGD sprake was van een datalek staat vast. In andere situaties is het soms lastiger om dit vast te stellen. De Autoriteit Persoonsgegevens (AP) beschrijft drie situaties waarin er sprake is van een datalek:

• Inbreuk op de vertrouwelijkheid: er is sprake van onbevoegde of onopzettelijke openbaring van of toegang tot persoonsgegevens. Het gaat bijvoorbeeld om toegang tot een database met e-mailadressen.
• Inbreuk op de integriteit: er vindt een onbevoegde of onopzettelijke wijziging van persoonsgegevens plaats.
• Inbreuk op de beschikbaarheid: hiervan is sprake bij onbevoegd op onopzettelijk verlies van toegang tot of vernietiging van persoonsgegevens.

Let op: de term ‘datalek’ komt niet voor in de privacywet: de Algemene verordening gegevensbescherming (AVG). In plaats daarvan staat er beschreven dat het gaat om een ‘inbreuk in verband met persoonsgegevens’.

De privacywet beschrijft een datalek letterlijk als: ’een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’ (artikel 4, punt 12, AVG).’

Benieuwd of u een datalek moet melden bij de Autoriteit Persoonsgegevens? Dat is bijvoorbeeld in de volgende drie situaties het geval:

• Cyberaanval gericht op persoonsgegevens: hackers dringen binnen in computers, systemen of uw netwerk. Als daar persoonsgegevens beschikbaar zijn, is er sprake van een datalek.
• Besmetting met ransomware waarbij persoonsgegevens zijn betrokken: zodra cybercriminelen met ransomware persoonsgegevens ontoegankelijk maken spreekt de Autoriteit Persoonsgegevens van een datalek.
• Verlies van een USB-stick met niet-versleutelde persoonsgegevens: een USB-stick met niet-versleutelde persoonsgegevens leidt bij verlies tot een datalek, dus de plicht om dit te melden. Dit geldt ook voor andere gegevensdragers, inclusief papieren dossiers.

Naast deze punten, die vooral met cyber te maken hebben, kan bijvoorbeeld het verkeerd versturen van een e-mail/brief of het inzien van gegevens van andere klanten via bijvoorbeeld een portal, ook worden gezien als datalek. De praktijk leert dat dit regelmatig bij diverse ondernemingen voorkomt. Ook een Excel-document met klantgegevens dat bij de verkeerde persoon terechtkomt is al gelekte data.

Is er sprake van een datalek? Dan moet u in actie komen. Ondernemingen die te maken krijgen met een datalek moeten dat mogelijk melden bij de Autoriteit Persoonsgegevens. Bepaal dit aan de hand van 5 stappen:

• Analyseer en creëer overzicht: analyseer de situatie en stel vast wat er is gebeurd. Is er sprake van gelekte, vernietigde of gewijzigde gegevens? Onderzoek wie er toegang heeft (gehad) en om welke persoonsgegevens het gaat.
• Beperk de schade: bepaal welke maatregelen u meteen kunt nemen om het datalek te dichten of de schade te beperken. Neem die maatregelen onmiddellijk, bijvoorbeeld door een gestolen laptop op afstand te wissen. Schat bovendien het risico van het datalek in.
• Meld binnen 72 uur, het liefst direct: beoordeel of u het datalek moet melden. Gebruik de Voorbeeldlijst wel/niet melden datalek van de Autoriteit Persoonsgegevens. Moet u het datalek melden? Doe dat zo snel mogelijk, in ieder geval binnen 72 uur. Meld het datalek met het Meldformulier datalekken.
• Melden bij betrokkenen: lopen de rechten en vrijheden van betrokkenen een hoog risico? Meld het datalek dan ook zo snel mogelijk bij de betrokkenen.
• Datalek registreren: registreer het datalek in het verplichte datalekregister. Dit moet u ook doen als u het datalek niet hoeft te melden bij de Autoriteit Persoonsgegevens en als u de betrokkenen niet op de hoogte hoeft te brengen.

Let op: meldt u het datalek niet bij de Autoriteit Persoonsgegevens, terwijl dit wel had gemoeten? De autoriteit kan ondernemingen die de AVG-wet overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

• Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
• Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
• Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.