Wat is een datalek?

Bij een datalek worden persoonlijke gegevens met anderen gedeeld wanneer dat niet de bedoeling is.

Een datalek kan ontstaan als gevolg van een beveiligingsprobleem, waardoor cybercriminelen toegang krijgen tot zakelijke computerbestanden met persoonsgegevens of DDoS-aanvallen kunnen uitvoeren. Andere voorbeelden van manieren waarop persoonsgegevens onbedoeld in handen van anderen komen zijn een zakelijke e-mail die naar een verkeerd adres is verzonden, en zakelijke laptops en usb-sticks die gestolen of verloren worden. Denk daarnaast aan afgedankte zakelijke computers, smartphones en tablets die worden doorverkocht en niet schoongemaakt zijn.
 
Wat te doen? (bron: Autoriteit Persoonsgegevens)

1. Zorg voor overzicht op de situatie.
2. Neem onmiddellijk maatregelen om de schade te beperken. En schat de risico's in.
3. Bepaal of u het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens (AP). Zo ja, doe dit onmiddellijk.
4. Bepaal of u het datalek wel of niet moet melden aan de betrokken personen. Zo ja doe dit zo snel mogelijk.
5. Registreer het datalek in uw datalekregister.

Boete
Er kan bij een datalek sprake zijn van overtreding van de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens kan je bedrijf of organisatie dan een boete opleggen. Die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, per overtreding.

Zelf datalek melden
Heb je zelf een datalek of andere kwetsbaarheid in een systeem of website gevonden, dan kun je een zogeheten responsible disclosure-melding doen. Je meldt het dan bij de betreffende organisatie, zodat deze het probleem kan verhelpen voordat kwaadwillenden er misbruik van kunnen maken. Kijk op de website van de organisatie hoe je de melding kunt indienen (zoek bijvoorbeeld via de zoekfunctie op de term 'responsible disclosure).