Wat is een datalek?

Je leest of hoort regelmatig in het nieuws dat een organisatie te maken heeft met een datalek. Soms heeft een externe zoals een hacker de kwetsbaarheid ontdekt en gemeld bij de organisatie. Dit heet een responsible disclosure-melding. Organisaties zijn in Nederland verplicht een datalek te melden bij de Autoriteit Persoonsgegevens.

Antwoord:

print
  • Datalek

    Als een bedrijf of organisatie persoonsgegevens verzameld heeft die onbedoeld onder ogen komen of in handen vallen van derden, dan is er sprake van een datalek. 

    Een datalek kan ontstaan als gevolg van een beveiligingsprobleem, waardoor cybercriminelen toegang krijgen tot zakelijke computerbestanden met persoonsgegevens of DDoS-aanvallen kunnen uitvoeren. Andere voorbeelden van manieren waarop persoonsgegevens onbedoeld in handen van anderen komen zijn een zakelijke e-mail die naar een verkeerd adres is verzonden, en zakelijke laptops en usb-sticks die gestolen of verloren worden. Denk daarnaast aan afgedankte zakelijke computers, smartphones en tablets die worden doorverkocht en niet schoongemaakt zijn.
     
    Wat te doen? (bron: Autoriteit Persoonsgegevens)

    1. Zorg voor overzicht op de situatie.
    2. Neem onmiddellijk maatregelen om de schade te beperken. En schat de risico's in.
    3. Bepaal of u het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens (AP). Zo ja, doe dit onmiddellijk.
    4. Bepaal of u het datalek wel of niet moet melden aan de betrokken personen. Zo ja doe dit zo snel mogelijk.
    5. Registreer het datalek in uw datalekregister.

    Boete
    Er kan bij een datalek sprake zijn van overtreding van de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens kan je bedrijf of organisatie dan een boete opleggen. Die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, per overtreding.

    Zelf datalek melden
    Heb je zelf een datalek of andere kwetsbaarheid in een systeem of website gevonden, dan kun je een zogeheten responsible disclosure-melding doen. Je meldt het dan bij de betreffende organisatie, zodat deze het probleem kan verhelpen voordat kwaadwillenden er misbruik van kunnen maken. Kijk op de website van de organisatie hoe je de melding kunt indienen (zoek bijvoorbeeld via de zoekfunctie op de term 'responsible disclosure).