Wat is een datalek?

Een datalek of privacylek houdt in dat persoonsgegevens in handen vallen van derden, die geen toegang tot deze gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt, er persoonsgegevens zonder toestemming worden gewijzigd of wanneer zonder toestemming bepaalde persoonsgegevens worden doorgestuurd. De term ‘datalek’ komt niet voor in officiële wetgeving. De Algemene Verordening Gegevensbescherming (AVG) kent de term dan ook niet. Zij noemen het ‘een inbreuk in verband met persoonsgegevens’. Dit klinkt wellicht als een ver-van-uw-bed-show, maar de kans is groot dat binnen uw organisatie al diverse datalekken hebben plaatsgevonden. Er is immers al sprake van een datalek wanneer u of een van uw werknemers een e-mail met daarin persoonsgegevens naar het verkeerde e-mailadres stuurt. Echter, er zijn ook meer duidelijke voorbeelden te noemen, zoals het kwijtraken van een usb-stick en/of harddisk met daarop persoonsgegevens. Ook wanneer persoonsgegevens verloren gaan door middel van brand en/of waterschade spreken we van een datalek. En is uw organisatie getroffen door een cyberaanval en heeft de crimineel persoonsgegevens weten te bemachtigen? Ook dan is er sprake van een datalek.

Wat staat er in de richtlijnen

In de richtlijnen van de EDPB zijn veel voorkomende varianten datalekken opgenomen, zoals:

• ransomware-aanvallen;
• kwijtgeraakte of gestolen apparatuur;
• mails die per ongeluk zijn verzonden aan een onjuiste ontvanger;
• data exfiltratie;
• identiteitsfraude;
• ongeoorloofd gebruik van bedrijfsdata door een ex-werknemer.

Per categorie wordt aan de hand van concrete praktijkcases een situatie geschetst. Bijvoorbeeld ‘ransomware zonder degelijke back-up’ of ‘onbedoelde overdracht van gegevens naar een vertrouwde derde partij’. Vervolgens staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen in het kader van risicomanagement. Ook staat vermeld welke maatregelen de organisatie na het desbetreffende incident moet nemen om de mogelijke schadelijke gevolgen te beperken. Daarnaast is er per type datalek aangegeven op welke wijze organisaties de risico’s het beste kunnen beoordelen. Er staat vermeld of en zo ja wanneer de toezichthouder op de hoogte moet worden gesteld van het datalek. In alle gevallen moeten de betrokkenen geïnformeerd worden.

Meer weten?

Bij ABAB Legal zijn we graag van betekenis. Door kennis te delen, advies te geven en voor inzicht te zorgen. De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht en kunnen u bijstaan bij het oplossen van juridische vraagstukken. Neem contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail