Wat is een datalek?

Wat is een datalek?

Bijna elk bedrijf verzamelt persoonsgegevens. Niet alleen van klanten, maar ook van personeel. Denk aan kledingwinkels die klantenbestanden met adressen en namen verzamelen, maar ook loongegevens van personeel. Bedrijven die persoonsgegevens verzamelen moeten deze goed beschermen. Soms komen één of meer persoonsgegevens onverhoopt in handen van andere partijen. Dit heet een datalek. Het bedrijf die de persoonsgegevens had moeten beschermen, moet de datalek melden bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens kan vervolgens een sanctie, zoals een boete, opleggen. Om boetes te voorkomen en een datalek zoveel mogelijk te beperken, is het handig om te weten wat je moet doen bij een datalek. In dit artikel kom je meer over datalekken te weten.

Wat betekent een datalek?

Het kan voorkomen dat persoonsgegevens die door organisaties of ondernemingen worden verzameld, ongewild in handen vallen van buitenstaanders. Op zo’n moment vindt een inbreuk op de beveiliging van persoonsgegevens plaats. Je spreekt dan van een datalek. Het gaat alleen om persoonsgegevens, zoals iemands naam, geslacht, geloofsovertuiging, adres, vermogen et cetera. Een uitgelekte inventarislijst bevat geen persoonsgegevens en heeft niks met een datalek te maken. Ook gestolen bedrijfsgeheimen over bijvoorbeeld productieprocessen vallen niet onder een datalek in de zin van de Algemene Verordening Gegevensbescherming. 

Onbedoeld vernietigen, verliezen, wijzigen of delen van persoonsgegevens

Bij een datalek kunnen persoonsgegevens onbedoeld vernietigd, verloren geraakt, gewijzigd of gedeeld zijn. Denk aan het verliezen van een USB-stick waar niet-versleutelde persoonsgegevens van werknemers kunnen worden bekeken. Bij een brand in een pand kunnen klantenbestanden met persoonsgegevens vernietigd zijn. 

Ook bij het onrechtmatig verwerken van persoonsgegevens spreek je van een datalek. Zo vond op 23 december 2019 bij de Universiteit Maastricht een cyberaanval plaats. Studenten kregen een phishingmail met daarin een link. Op het moment dat de link werd aangeklikt, konden hackers toegang krijgen tot de persoonsgegevens. Pas nadat de Universiteit Maastricht losgeld had betaald, kwamen de persoonsgegevens weer in hun handen.

Fouten maken is menselijk. Een datalek hoeft niet perse opzettelijk veroorzaakt te zijn, maar kan ook per ongeluk gebeuren. Zo kan een personeelslid die niet oplet, per ongeluk persoonsgegevens van klanten naar een verkeerd mailadres sturen. 

Moet ik een datalek melden?

Sinds 2016 bestaat de plicht om datalekken te melden. Constateer je als bedrijf, organisatie of overheid een datalek, dan moet je dat melden. Melden moet uiterlijk binnen 72 uur na de ontdekking bij een toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens, specifiek het meldloket datalekken. Om je een inzicht te geven: in 2020 kwamen er 23.976 meldingen van een datalek binnen bij de Autoriteit Persoonsgegevens.

Je hoeft niet alle datalekken te melden. Je bent alleen verplicht datalekken te melden als de privacy van betrokken personen in gevaar komt. In sommige gevallen moet een bedrijf, organisatie of de overheid een datalek melden aan betrokken personen. Betrokkenen zijn de personen wiens persoonsgegevens gelekt zijn.

Welke datalekken moet ik verplicht melden?

Datalekken met privacyrisico’s

Datalekken die privacyrisico’s meebrengen voor betrokken personen moeten gemeld worden bij het meldloket datalekken. De kleinste vergissing kan al een datalek opleveren. Denk aan een marketingmail met daarin reclame die verzonden wordt naar klanten. Door onoplettendheid worden de mailadressen van de klanten zichtbaar voor alle ontvangers. Mailadressen zijn persoonsgegevens en het uitlekken daarvan brengt privacyrisico’s met zich mee. 

Datalekken met hoog privacyrisico voor betrokken personen

Datalekken die een hoog privacyrisico meebrengen voor personen wiens persoonsgegevens gelekt zijn, moeten (naast een melding bij het meldloket) aan die betrokken personen gemeld worden. Dit staat in artikel 34 van de Algemene Verordening Gegevensbescherming. Het gaat bijvoorbeeld om gebruikersnamen, wachtwoorden en bankgegevens van online verkopers op Marktplaats.nl die door een cyberaanval in handen zijn gekomen van criminelen en op het internet worden gepubliceerd. Dit brengt een hoog privacyrisico met zich mee vanwege mogelijke identiteitsfraude. Daarom moet Marktplaats.nl aan de betrokken personen mededelen welke persoonsgegevens in handen van derden zijn gekomen. Betrokkenen kunnen vervolgens actie ondernemen, bijvoorbeeld door wachtwoorden en inloggegevens te wijzigen of bankrekeningen te blokkeren. Ook moet het bedrijf die verantwoordelijk is voor de verwerking van persoonsgegevens, in dit voorbeeld Marktplaats.nl, aan betrokkenen vermelden welke maatregelen ze gaan nemen om de inbreuk aan te pakken. 

Datalekken zonder hoog privacyrisico

Soms zijn persoonsgegevens wel gelekt, maar voor buitenstaanders onbruikbaar geworden vanwege een goede versleuteling. Denk aan een gestolen laptop met daarop persoonsgegevens van gedetineerden die met een coderingssleutel beveiligd is. Het levert wel een datalek op maar geen hoog privacyrisico. Inbrekers kunnen zonder code immers niet bij de persoonsgegevens komen. Doet een dergelijke situatie zich voor, dan hoef je een datalek niet aan betrokken personen te melden. Wel moeten datalekken zonder hoog privacyrisico gemeld worden bij het meldloket datalekken.

Een bedrijf, organisatie of de overheid moet een datalek altijd intern melden en registreren! Je bent dus verplicht om een intern datalekregister bij te houden. 

Krijg ik een boete als binnen mijn bedrijf/organisatie sprake is van een datalek?

Een datalek levert niet altijd een boete op. Wordt een datalek binnen 72 uur gemeld en is de beveiliging in orde, dan is de kans op een boete klein. Is de beveiliging onvoldoende en/of wordt een datalek niet of te laat gemeld, dan kan dit leiden tot een boete. Boetes zijn niet mals en kunnen maximaal 10.000.000 euro of 2% van de wereldwijde jaarlijkse omzet van het bedrijf bedragen. Zo legde de Autoriteit Persoonsgegevens het UWV in juli 2021 een boete op van 450.000 euro. De aanleiding hiertoe was een slechte beveiliging bij het verzenden van groepsberichten. Werkzoekenden hadden via de digitale omgeving genaamd “Mijn Werkmap” contact met werknemers van het UWV. Vanwege de slechte beveiliging kwamen persoonsgegevens (onder andere gezondheidsgegevens) van ruim 15.000 mensen terecht bij andere werkzoekenden. 

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp

Direct weten wat je kunt doen?

Wij helpen je graag met jouw juridische vraagstuk. In een gratis intakegesprek met één van onze specialisten bespreken we jouw situatie en vertellen we wat we voor jou kunnen doen.

mr. L.M. van Dijk
Juridisch specialist  
Specialisatie: privaatrecht & bestuursrecht

Meer artikelen:

Nieuwe artikelen ontvangen via de mail

Nieuwe artikelen ontvangen via de mail

Disclaimer

De artikelen van Juspecia zijn met aandacht en zorgvuldigheid geschreven. Toch kan informatie verouderd zijn of niet helemaal correct zijn weergegeven. De juridische kwalificatie van gebeurtenissen hangen af van de omstandigheden van het geval. Neem bij twijfel contact op met een jurist. Juspecia is niet aansprakelijk voor (verkeerd) gebruik van de informatie in de artikelen. Aan de artikelen van Juspecia kunnen geen rechten worden ontleend.

Ⓒ 2021 - All Rights Are Reserved