Medische gegevens die naar een verkeerde ontvanger zijn verstuurd, kwaadwillenden die zich toegang hebben verschaft tot een database met persoonsgegevens zijn voorbeelden van een datalek waarbij de vertrouwelijkheid is geschonden. Maar wist je dat een onbedoelde wijziging van persoonsgegevens of het niet beschikbaar zijn van persoonsgegevens ook datalekken zijn? Bij deze incidenten is de integriteit of de beschikbaarheid van de gegevens geschaad. De term datalek is daardoor onhandig gekozen en verwarrend: het gaat om veel meer dan het ‘lekken’ van persoonsgegevens (data). Een "datalek" is een begrip uit de volksmond. De AVG spreekt daarom ook niet van een datalek, maar van een inbreuk in verband met persoonsgegevens!
De Autoriteit Persoonsgegevens definieert een datalek als de “toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, of zonder dat dit wettelijk is toegestaan.”
Zodra een melder in of buiten jouw organisatie een mogelijk datalek ontdekt, moeten de alarmbellen gaan rinkelen. Je wilt zo snel mogelijk handelen om de gevolgen voor betrokkenen te minimaliseren en om te voldoen aan de meldplicht bij de Autoriteit Persoonsgegevens.
Als organisatie heb je namelijk 72 uur de tijd om het datalek te melden bij de Autoriteit Persoonsgegevens. Binnen die 72 uur is het dus zaak om zoveel mogelijk informatie in te winnen en mitigerende maatregelen te nemen.
Het melden is verplicht als de inbreuk invloed kan hebben op de rechten en vrijheden van betrokkenen, denk aan financiële schade, ID-fraude, reputatieschade of ongewenst contact door vreemden. In dergelijke gevallen moet men meestal ook een melding doen aan de betrokkenen.
Wij maken organisaties al 10 jaar weerbaar tegen risico's
Organisaties kunnen met diverse privacy incidenten te maken krijgen. Zorg ervoor dat je op onderstaande incidenten voorbereid bent:
Dit gebeurt wanneer iemands persoonlijke informatie wordt gebruikt zonder toestemming, meestal voor frauduleuze doeleinden zoals het openen van bankrekeningen, het aanvragen van krediet of het uitvoeren van illegale transacties.
Het ongeoorloofd verkrijgen van toegang tot systemen, applicaties of netwerken kan leiden tot het blootstellen van gevoelige gegevens. Dit kan het resultaat zijn van zwakke wachtwoorden, gebrekkige beveiligingsmaatregelen of insider threats.
Wanneer apparaten zoals laptops, smartphones of USB-drives verloren gaan of gestolen worden, kan dit leiden tot het verlies van gevoelige informatie die op deze apparaten is opgeslagen, tenzij er sterke versleuteling en beveiligingsmaatregelen zijn getroffen.
Hackers kunnen systemen binnendringen om toegang te krijgen tot gevoelige gegevens. Dit kan gebeuren door middel van methoden zoals malware, ransomware, of andere geavanceerde aanvalstechnieken.
Het opslaan van gegevens op onveilige locaties, zoals onversleutelde servers of cloudopslag, kan leiden tot ongeautoriseerde toegang. Ook onveilige overdracht van gegevens, bijvoorbeeld via onbeveiligde netwerken, vormt een risico.
Een datalek is niet altijd te voorkomen, zelfs wanneer er nog zoveel organisatorische en technische maatregelen zijn genomen. Belangrijk is dat jouw organisatie voorbereid is op verschillende scenario's en ook snel de juiste stappen weet te ondernemen.
BMGrip begeleidt organisaties voor, tijdens en na datalekken:
Welke stappen kan BMGrip samen met je nemen indien er toch onverhoopt een datalek is ontstaan?
Heb je hulp nodig bij datalekken of privacyincidenten? Of wil je met een informatiebeveiligings- en privacyspecialist eens sparren over de te nemen stappen? Neem direct contact op met ons privacyteam.
Dit zijn stuk voor stuk Functionarissen Gevensbescherming die vaker met dit bijltje hebben gehakt. Wij staan 7 dagen per week voor je klaar. En bij datalekken houden wij natuurlijk rekening met de meldtermijn. Wij reageren dezelfde ochtend of middag nog. De eerste intake of probleemindicatie per e-mail is kosteloos. Daarna kunnen we samen toewerken naar een oplossing.
Laat jouw gegevens achter en we nemen binnen één werkdag contact met je op.
Normen die worden gecombineerd met de ISO 27001 standaard
Andere interessante certificeringen en services
Services m.b.t. managementsystemen
Schakel binnen 24 uur met onze consultants.