Datalekken komen regelmatig voor in het nieuws. Gegevens van klanten, personeel of leveranciers liggen voor het oprapen op straat. Vervelend voor de slachtoffers, maar minstens ook zo vervelend voor de organisatie. Toch zijn niet alle incidenten ook een datalek. In dit artikel geven wij antwoord op de vraag: ‘Wanneer is er sprake van een datalek?’
Volgens de definitie van de Autoriteit Persoonsgegevens spreken we van een datalek als het gaat om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit expliciet de bedoeling is van deze organisatie.
Een datalek is dus een veelomvattend begrip. In dit blogartikel vertellen wij meer over een datalek:
Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging. Download gratis "De Complete Gids voor Basiskennis Informatiebeveiliging"
De definitie van een datalek
Hierboven staat al aangegeven wat we volgens de definitie van de Autoriteit Persoonsgegevens onder een datalek verstaan. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Bijvoorbeeld wanneer persoonsgegevens, ontvangen naar aanleiding van een contactverzoek, gebruikt worden voor het versturen van een nieuwsbrief of andere marketingactiviteiten.
Uit de definitie blijkt dat het bij een datalek om persoonsgegevens gaat. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijke persoon (geen rechtspersoon dus). Hieronder vallen uiteraard zaken als contactgegevens maar ook gegevens als een bankrekeningnummer, kenteken en een BSN.
Afhankelijk van het soort persoonsgegevens dat met het datalek gemoeid is zal de impact variëren. Wanneer uitsluitend voor- en achternaam ‘gelekt’ worden is de impact gering, wanneer meer gevoelige persoonsgegevens, bijvoorbeeld over religie, gezondheid of seksuele voorkeur gelekt worden is de impact uiteraard stukken groter.
Voorbeelden
In de volgende voorbeelden is er sprake van een datalek:
- Verlies van telefoon of laptop met een lijst van contactpersonen;
- Het versturen van een e-mail aan een groep personen waarbij deze groep onterecht kennis kan nemen van alle e-mailadressen (dus wanneer alle ontvangers in de ‘aan’ zijn geplaatst in plaats van in de ‘bcc’);
- Het versturen van een persoonsgebonden dossier (bijvoorbeeld aanvraag voor huursubsidie) aan de verkeerde persoon;
- Een hack van een database met toegangsgegevens (username en/of wachtwoorden);
- Het account van een medewerker wordt gehacked waardoor toegang wordt verkregen tot persoonsgegevens;
- Een medewerker vernietigd, per ongeluk of moedwillig, een bestand met persoonsgegevens (zonder beschikbare backup);
- Er is sprake van een server-crash met onherstelbare schade aan bestanden met persoonsgegevens (zonder beschikbare backup);
- En soortgelijk: er heeft een ransomware aanval plaatsgevonden waarbij alle opslag van persoonsgegevens onleesbaar opgeslagen wordt.
Vervolgstappen
Stel er is sprake van een datalek binnen uw organisatie. Wat zijn dan de stappen die u dient te ondernemen? Hoe gaat u om met een beveiligingsincident? Wij hebben een paar tips voor u op een rij gezet:
- Bepaal of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens, zie hieronder.
- Bepaald of de betrokken personen (betrokkenen) geïnformeerd moeten worden (zie ook hieronder).
- Neem maatregelen om soortgelijke datalekken in de toekomst zo veel mogelijk te voorkomen. Belangrijk hierbij is: Vergroot de bewustzijn van de medewerkers ten aanzien van de risico’s met betrekking tot datalekken. Dit is van essentieel belang om de kans op datalekken in de toekomst te verminderen.
Uw informatiebeveiliging op orde
Zoals u hebt kunnen lezen is de kans op een datalek altijd aanwezig. Veel onverwachte gebeurtenissen kunnen leiden tot een datalek. Heeft uw organisatie de informatiebeveiliging op orde? Zijn uw medewerkers op de hoogte van de risico’s rondom informatiebeveiliging?
Wij helpen u graag met al uw vragen rondom informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.