Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan.
Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens (AP) kunnen dat doen via het meldloket datalekken.
De volgende vijf stappen moet je ondernemen bij een datalek:
- Zorg voor overzicht op de situatie.
- Neem onmiddellijk maatregelen om de schade te beperken. En schat de risico’s in.
- Bepaal of je het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens (AP). Zo ja, doe dit onmiddellijk.
- Bepaal of je het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
- Registreer het datalek in het datalekregister.
1 Overzicht
De volgende 10 vragen helpen je om overzicht te krijgen op de situatie, zodat je de juiste vervolgstappen kunt nemen.
- Om wat voor soort datalek gaat het?
- Wat is de oorzaak van het datalek?
- Wanneer is het datalek ontstaan? En bestaat het lek nog steeds?
- Hoe lang na het ontstaan van het datalek is het ontdekt? En hoe is het ontdekt?
- Wat voor soort persoonsgegevens zijn er gelekt? Bijvoorbeeld naam, adres, e-mailadressen, creditcardgegevens en/of bijzondere persoonsgegevens.
- Hoeveel persoonsgegevens zijn er (bij benadering) gelekt? Om hoeveel personen gaat het?
- Om wat voor groepen mensen gaat het? Bijvoorbeeld klanten, werknemers, scholieren, patiënten, inwoners et cetera. Gaat het om kwetsbare groepen? Bijvoorbeeld kinderen, gehandicapten of bejaarden.
- Hoeveel onbevoegden hadden of hebben bij benadering (mogelijk) toegang tot de gelekte persoonsgegevens?
- Heb je zicht op wie de onbevoegden zijn? En is het waarschijnlijk dat de onbevoegden kwade bedoelingen hebben met de gegevens? Of gaat het om een bekende, betrouwbare ontvanger?
- Heeft de organisatie vooraf maatregelen getroffen waardoor de gelekte persoonsgegevens (deels) ontoegankelijk zijn voor onbevoegden, bijvoorbeeld omdat de gegevens versleuteld zijn?
Tip: zorg dat er een werkproces klaarligt, zodat duidelijk is wie wat doet bij een datalek en je niet onnodig tijd verliest. Wie het eerste aanspreekpunt is bij een (mogelijk) datalek?
2 Schade beperken
Voorbeelden van maatregelen om schade bij een datalek te beperken zijn:
- Een laptop, tablet, of smartphone op afstand wissen of versleutelen.
- Een gepubliceerd bestand offline halen.
- Een verkeerde ontvanger vragen om een bevestiging dat de gegevens uit een brief of e-mail zijn vernietigd. Hoewel je op basis van zo’n bevestiging niet 100 procent zeker weet dat de gegevens zijn, kun je het wel meenemen in de risico-inschatting.
- Het op afstand blokkeren van de toegang tot een medewerkersaccount of clouddienst.
- Wanneer je verplicht bent om de betrokken personen te informeren, aangeven wat zij zelf kunnen doen om de schade te beperken.
3 Melden aan AP?
Je moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP), behalve als het niet waarschijnlijk is dat er een risico is. De betrokken personen informeer je alleen als sprake is van een hoog risico.
Het is je eigen verantwoordelijkheid om het risico van een datalek in te schatten.
Hoog risico
Van een hoog risico is sprake als een datalek kan leiden tot:
- Discriminatie, bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
- Identiteitsdiefstal of -fraude, bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
- Financiële verliezen, bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
- Reputatieschade, bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
- Doorbreking van beroepsgeheim, bijvoorbeeld bij een datalek met medische gegevens.
4 Melden aan betrokkenen?
Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. In deze gevallen moet je ervan uit gaan dat je het datalek moet melden aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen, tenzij sprake is van een uitzondering op de meldplicht.
5 Datalekregister
Iedere organisatie die verwerkingsverantwoordelijke is, moet volgens de privacywet een datalekregister opstellen. Hierin houd je bij welke datalekken er in de organisatie zijn geweest.
In het register leg je niet alleen de datalekken vast die je aan de AP hebt gemeld. Ook de minder ernstige datalekken vermeld je in het register.