Wat is een datalek?

Een datalek is een term uit de Algemene verordening gegevensbescherming (AVG). Het is een lek in de beveiliging van je verzameling persoonsgegevens, bijvoorbeeld:

• een gestolen of verloren zakelijke laptop, telefoon of USB stick

• een gehackte computer (bijvoorbeeld vanwege een cyberaanval)

• het per ongeluk wissen van persoonsgegevens die je had moeten bewaren

• een e-mail met gevoelige informatie die per ongeluk naar de verkeerde persoon is gestuurd

• je personeel dat ongeoorloofd toegang heeft gehad tot gevoelige informatie  

• niet voldoende gewiste afgedankte computers

• gegevens die als gevolg van een brand verloren zijn gegaan

Een datalek ontstaat als gevolg van een beveiligingsprobleem of een menselijke fout. De meeste datalekken ontstaan door menselijk toedoen. Het meest voorkomende type datalek is het verzenden van een e-mail met privégegevens naar een verkeerd adres, zoals een loonstrookje naar een verkeerde medewerker of een afspraakbevestiging van een arts naar een verkeerde patiënt.  

Je kunt datalekken voorkomen door voldoende technische en organisatorische beveiligingsmaatregelen te treffen. Je kunt dit op veel verschillende manieren doen. Een belangrijke, vaak onderschatte organisatorische maatregel is dat je je personeel goed bewust maakt van de gevaren en erop toeziet dat ze zorgvuldig met de verzamelde persoonsgegevens omgaan. Je voorkomt ook misbruik en fouten als je ervoor zorgt dat niet iedereen toegang heeft tot privacygevoelige gegevens. Zorg er bijvoorbeeld voor dat alleen HR-personeel bij de personeelsdossiers kan komen en alleen marketeers bij persoonsgegevens die betrekking op marketing hebben. 

De meldplicht datalekken houdt in dat je een datalek binnen 72 uur na ontdekking moet melden aan de Autoriteit Persoonsgegevens als het ‘mogelijkerwijs ernstige gevolgen’ kan hebben voor degenen op wie de persoonsgegevens betrekking hebben. Als het datalek bij de getroffen personen kan leiden tot fysieke, materiële of immateriële schade, moet je het lek ook aan hen melden. Omdat de rechters nog niet duidelijk hebben gemaakt wat hier precies onder valt, kun je bij twijfel beter toch een melding doen om een hoge boete te voorkomen. Als je een factuur voor een stoel naar een verkeerd e-mailadres verstuurt bijvoorbeeld, is dit formeel ook een datalek, maar dat hoef je niet te melden. Maar de salarisstrook met bonus van de CEO naar een andere medewerker sturen, ligt al gevoeliger. Zorg er ook voor dat je alle datalekken registreert in je register datalekken, ook als je ze niet hoeft te melden. Lees wat je nog meer moet doen bij een datalek in: Wat moet ik doen bij een datalek?

Als je een datalek hebt gemeld, registreert de Autoriteit Persoonsgegevens dit en kan deze vervolgens een onderzoek verrichten of je er wel voldoende aan hebt gedaan om het datalek te voorkomen. Als je beveiligingsniveau niet voldoende is geweest, kan de Autoriteit Persoonsgegevens je een waarschuwing geven of een boete.

Hoewel je met documenten een datalek niet kunt voorkomen, kun je daarmee wel een boete voorkomen. Zorg daarom voor de volgende documenten:

• een protocol meldplicht datalekken, die de hele te volgen procedure bij een datalek in kaart brengt
• een register datalekken, om eventuele datalekken op de juiste manier vast te leggen
• een privacyverklaring, waarin je vastlegt welke persoonsgegevens je verzamelt en op basis waarvan