Wat te doen bij datalekken?

Sinds de inwerkingtreding van de AVG komen datalekken steeds vaker in het nieuws (omdat ze verplicht gemeld moeten worden). En naarmate de wereld steeds verder digitaliseert, met alle schaalvergroting van dien, worden de risico’s van datalekken steeds groter. Wat is een datalek, wat is ertegen te doen en welke rol speelt Privacy First daarbij?

Bij datalekken denken de meeste mensen aan het ‘weglekken’ van gegevens door slechte beveiliging of een hack. De term is echter breder dan dat. Juridisch gezien is een datalek: iedere onbevoegde of onbedoelde vernietiging, verlies, toegang of inzage, wijziging, verstrekking, openbaarmaking of andere ongeoorloofde verwerking van (individuele of tot een individu herleidbare) persoonsgegevens. Oftewel: er is iets met je gegevens gebeurd terwijl dat niet de bedoeling was.

Voorbeelden van datalekken zijn:

  • het kwijtraken van een USB-stick met persoonsgegevens (waarbij die gegevens dus ‘op straat komen te liggen’);
  • het doorsturen van persoonsgegevens naar een verkeerde ontvanger;
  • onbevoegde inzage van een medisch dossier;
  • een cyberaanval waarbij persoonsgegevens zijn bemachtigd. (Meestal gaat het om gebruikersnamen en wachtwoorden, die gebruikt kunnen worden voor identiteitsfraude, of om toegang te krijgen tot andere websites.)

Vaak worden datalekken veroorzaakt door menselijke fouten.

Risico’s van datalekken

De gevolgen van datalekken kunnen enorm zijn, en grote impact op het privéleven van mensen hebben. Denk bijvoorbeeld aan: identiteitsfraude, chantage, reputatieschade, discriminatie of stigmatisering. Deze risico’s kunnen zowel kwantitatief (grote hoeveelheid persoonsgegevens) als kwalitatief (gevoelige persoonsgegevens) zijn. Dit kan zowel materiële als immateriële schade veroorzaken.

Plichten bij datalekken

Zodra er sprake is van een datalek, moet dat door de verantwoordelijke organisatie direct gestopt worden, en moeten er maatregelen getroffen worden om herhaling te voorkomen. Ook moet het lek intern geregistreerd worden in een datalekregister.

Als er sprake is van risico’s voor de betrokkenen (oftewel de mensen van wie de persoonsgegevens zijn gelekt) dan moet het datalek zo spoedig mogelijk aan de gedupeerde personen gemeld worden.

Bij risico’s voor de betrokkenen moet het datalek ook snel gemeld worden bij de Autoriteit Persoonsgegevens (AP): binnen 72 uur na de ontdekking van het datalek. Bij grote schade of impact kan de AP maatregelen tegen de organisatie treffen en/of boetes opleggen.

Wat doe je ertegen?

Voorkomen is beter dan genezen. Iedere organisatie is wettelijk verplicht om de beveiliging van persoonsgegevens zo goed mogelijk op orde te hebben, en daartoe privacy by design toe te passen.

Dat is: al bij het ontwerpen van een informatiesysteem rekening houden met privacy. Waardoor je achteraf geen boetes hoeft te betalen, of privacy-pleisters moet plakken.

Wat doet Privacy First?

Al jaren ontvangt Privacy First signalen, klachten en meldingen van burgers en consumenten over mogelijke datalekken (bij de overheid en het bedrijfsleven). Meestal verwijzen wij hen door naar de AP en naar gespecialiseerde juristen of advocaten die hen verder kunnen helpen.

De ervaring leert echter dat de AP klachten over datalekken nauwelijks serieus behandelt, of ze jarenlang op de plank laat liggen. Ook treft de AP nauwelijks effectieve maatregelen, en worden er bijna geen boetes opgelegd.

Hoogste tijd dus dat Privacy First op dit terrein zelf orde op zaken gaat stellen. Spoedig lees je hier meer over op onze website.