Datalek – deel 1: wat is een datalek?

blank

Wat is een datalek? Wij vertellen het je!

Bij een datalek zijn er onbedoeld persoonsgegevens vrijgegeven of heeft iemand ongeoorloofd toegang gehad tot de persoonsgegevens. Het is breder dan alleen ‘lekken’: het kan ook gaan om het vernietigen of wijzigen van persoonsgegevens. Bijvoorbeeld een hacker die gegevens wist of verandert.

En het moet dus gaan om persoonsgegevens. Dat is een gegeven dat (direct of indirect) te herleiden is naar een individueel persoon. Zoals een naam, adres, geboortedatum, Burgerservicenummer (BSN) of bankrekeningnummer.

Een datalek kan uit één persoonsgegeven bestaan of uit meerdere persoonsgegevens, van één persoon of van meerdere personen.

Voorbeelden van een datalek

Een paar concrete voorbeelden van een datalek:

  • Een USB-stick die iemand verliest.
  • Een laptop die vergeten is in de trein.
  • Een online klantomgeving die door een technische fout deels open heeft gestaan voor onbevoegden. Of waardoor bijvoorbeeld klanten bij elkaar hebben kunnen kijken.
  • Ransomware (gijzelsoftware) waardoor bestanden versleuteld zijn.
  • Een verkeerd gestuurde e-mail of verkeerd bezorgde brief.

Hoe weet je of iets een datalek is?

Is er iets gebeurd wat mogelijk een datalek is? Dan is het verstandig om met ons contact op te nemen.

Samen brengen we alles in kaart: wat is er precies gebeurd, zijn er gegevens gelekt/vernietigd/gewijzigd en welke gegevens dan precies, wie heeft er toegang toe gehad, hoe is de beveiliging, is er schade en zijn er mogelijkheden om die schade te beperken.

Het is goed om te weten dat er 3 ‘smaken’ datalekken zijn:

  1. Het is weliswaar een datalek, maar je hoeft dit niet te melden aan de toezichthouder en degenen van wie de persoonsgegevens zijn (betrokkenen).
  2. Het is een datalek dat je moet melden aan de toezichthouder, maar niet aan de betrokkenen.
  3. Het is een datalek dat je moet melden aan de toezichthouder én de betrokkenen.

Wij kunnen bepalen of iets a) een datalek is en b) of en bij wie je dit moet melden. Lees hier meer over het melden van een datalek.

Wanneer is iets géén datalek?

Als er geen persoonsgegevens bij betrokken zijn, is het geen datalek. Denk aan een verkeerd gestuurde e-mail waarin geen persoonsgegevens staan (en deze ook niet indirect af te leiden zijn).

Of denk aan een beveiligingsincident zonder dat persoonsgegevens een rol spelen. Bijvoorbeeld een website die tijdelijk open heeft gestaan, maar waarbij er geen toegang was tot persoonsgegevens.

Is phishing een datalek?

Ja, wel als je erop ingaat én er dus persoonsgegevens bij komen kijken. Bij phishing is het vaak het doel om gegevens direct te krijgen (door mensen iets te laten invullen) of om toegang tot een online omgeving te krijgen.

Hoe ontstaat een datalek?

Een datalek ontstaat in de meeste gevallen door een menselijke fout. Denk aan het versturen van een e-mail naar de verkeerde persoon, iemand die in phishing trapt, slordigheid zoals het achterlaten van een laptop of het opslaan van een wachtwoord op een plek waar iemand anders ook bij kan.

Daarom is privacy awareness zo ontzettend belangrijk binnen een organisatie. Lees hier hoe je privacybewustzijn bij medewerkers creëert.

Is een datalek gevaarlijk?

Hoe erg een datalek is, hangt af van het soort persoonsgegevens dat erbij betrokken is. Ook het type klantenbestand kan een datalek gevaarlijk maken. Denk aan adresgegevens van een blijf-van-mijn-lijfhuis of van publieke personen zoals politici. Of aan het lekken van financiële gegevens of kopieën van paspoorten (risico op identiteitsfraude).

Het merendeel van de datalekken is niet gevaarlijk. Maar een datalek kan voor een organisatie wel gevolgen hebben. Denk aan reputatieschade, een boete door de toezichthouder en/of het moeten betalen van een schadevergoeding. Daarom is het belangrijk om datalekken te voorkomen: lees hier meer over dat onderwerp.

Advies over een (mogelijk) datalek

Heb je vragen over een datalek? Of wil je juridisch en strategisch advies over de vervolgstappen? Neem contact met ons op: wij helpen je graag.

Benieuwd wat Privacycoaches
voor jou kan doen?

blank

Start typing and press Enter to search