Wat is een datalek?

Je leest of hoort regelmatig in het nieuws dat een organisatie te maken heeft met een datalek. Soms heeft een externe zoals een hacker de kwetsbaarheid ontdekt en gemeld bij de organisatie. Dit heet een responsible disclosure-melding. Organisaties zijn in Nederland verplicht een datalek te melden bij de Autoriteit Persoonsgegevens.

Antwoord:

print

  • Datalek

    Als een bedrijf of organisatie persoonsgegevens verzameld heeft die onbedoeld onder ogen komen of in handen vallen van derden, dan is er sprake van een datalek. 

    Een datalek kan ontstaan als gevolg van een beveiligingsprobleem, waardoor cybercriminelen toegang krijgen tot zakelijke computerbestanden met persoonsgegevens of DDoS-aanvallen kunnen uitvoeren. Andere voorbeelden van manieren waarop persoonsgegevens onbedoeld in handen van anderen komen zijn een zakelijke e-mail die naar een verkeerd adres is verzonden, en zakelijke laptops en usb-sticks die gestolen of verloren worden. Denk daarnaast aan afgedankte zakelijke computers, smartphones en tablets die worden doorverkocht en niet schoongemaakt zijn.
     
    Melden
    Als het datalek het ernstig is, moet een bedrijf of organisatie het volgens de Wet Meldplicht Datalekken direct melden bij de Autoriteit Persoonsgegevens (AP).
     
    Boete
    Er kan bij een datalek sprake zijn van overtreding van de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens kan je bedrijf of organisatie dan een boete opleggen. Die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, per overtreding.

    Datalek melden
    Heb je een datalek of andere kwetsbaarheid in een systeem of website gevonden, dan kun je een zogeheten responsible disclosure-melding doen. Je meldt het dan bij de betreffende organisatie, zodat deze het probleem kan verhelpen voordat kwaadwillenden er misbruik van kunnen maken. Kijk op de website van de organisatie hoe je de melding kunt indienen (zoek bijvoorbeeld via de zoekfunctie op de term 'responsible disclosure).