Volg ons op sociale media

Een ongeluk zit in een klein hoekje. Een datalek ook.

Geplaatst op 28 september 2018 om 14:10

Een datalek klinkt groots en ernstig. Alsof er duizenden mensen door geschaad worden. Financiële of medische gegevens die op straat liggen of zelfs in verkeerde handen gevallen zijn. Dat klopt, dat is een datalek. Maar vergist u zich niet, ook een klein “foutje” zonder directe gevolgen of schade kan al een datalek zijn. 

Het is eigenlijk heel simpel: er is sprake van een datalek wanneer persoonsgegevens in handen vallen van iemand die deze niet zou mogen hebben. Gebeurt dit in uw organisatie, dan moet u vervolgstappen nemen. Welke stappen dat zijn, dat is afhankelijk van het risico dat het datalek met zich meebrengt. 

Een verhaal uit de praktijk 

Laatst kregen wij een vraag van één van onze deelnemers. Zij hadden per ongeluk een factuur naar een ander bedrijf gezonden en zij vroegen zich af of dit een datalek was en zo ja, wat de vervolgstappen moesten zijn. 

Als u dit artikel aandacht heeft gelezen, weet u het antwoord al. Er zijn in dit voorbeeld persoonsgegevens in handen gevallen van iemand die ze niet zou mogen hebben. Dus ja, het is een datalek. 

Vrijwel iedereen weet ondertussen dat een datalek binnen 72 uur na constatering gemeld moet worden bij de Autoriteit Persoonsgegevens, maar dat geldt niet voor alle datalekken. Het wel of niet melden bij de AP is afhankelijk van het risico voor de privacy van de betrokken personen. 

Wel of niet melden bij de AP?

Heeft u een datalek geconstateerd, dan moet u inschatten hoe groot het risico voor de privacy van de betrokkenen is. Op basis van de hoogte van het risico kunt u uw vervolgstappen bepalen. Er zijn daarbij drie categorieën: 

  1. Het risico is niet waarschijnlijk. U registreert het datalek in uw datalekkenregister en hoeft geen melding te doen bij de AP;
  2. Er is een risico dat de betrokken personen gevolgen zullen ondervinden van het datalek. U meldt het datalek aan de AP en registreert het datalek in uw datalekkenregister;
  3. Er is een hoog risico dat de betrokken personen gevolgen zullen ondervinden van het datalek. U meldt het datalek aan de AP, u registreert het datalek in uw datalekkenregister en aan de betrokkenen.

Het inschatten van het risico kan best lastig zijn. Gebruik daarbij uw gezond verstand en neem in overweging om welke gegevens het gaat (privacygevoelig), van wie zijn deze gegevens, aan wie deze zijn gelekt (openbaar en voor iedereen beschikbaar of niet) en wat de gevolgen zijn (zou iemand er fraude mee kunnen plegen). 

In het specifieke geval van een factuur onjuist versturen betrof het gegevens die toch al openbaar waren. De gegevens op de factuur, zoals adres en KvK-nummer, staan immers op de website van de betrokkene zelf en zijn daarmee openbaar. Er was dan ook sprake van een datalek dat geen waarschijnlijk risico vormde, categorie 1. 

Het is wel altijd netjes om de betrokkenen te informeren over wat er gebeurd is, ongeacht of dit wettelijk verplicht is of niet. 

Meer informatie

Wilt u graag meer weten over hoe u moet handelen bij een datalek of over onze dienstverlening? Neem dan contact met mij op via 088 77 300 72 of devers@ictwaarborg.nl. 

Meer nieuws, september 2018

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73