Wanneer is iets een datalek?
Niet elk beveiligingsincident is automatisch een datalek. Van een datalek is pas sprake als:
- Er persoonsgegevens verloren zijn gegaan
- Of deze gegevens in verkeerde handen zijn terechtgekomen
Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een persoon, zoals naam, adres, telefoonnummer of BSN.
Voorbeelden van datalekken
- Een medewerker laat een laptop of dossier liggen in het OV
- Inbraak waarbij papieren of digitale gegevens worden gestolen
- Een hack waarbij u geen zicht heeft op wat de hacker heeft gekopieerd
- E-mails of bestanden worden per ongeluk naar de verkeerde persoon gestuurd
Ook als u de gegevens zelf nog heeft, kan het toch een datalek zijn – bijvoorbeeld wanneer u niet weet wat er door een derde partij is ingezien of overgenomen.
Wanneer moet u een datalek melden?
Een melding bij de Autoriteit Persoonsgegevens (AP) is verplicht als er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de gegevens. Dit is bijvoorbeeld het geval bij:
- Gegevens van gevoelige aard (zoals medische dossiers of BSN)
- Grote hoeveelheden gelekte persoonsgegevens
- Gegevens die kunnen leiden tot identiteitsfraude
Daarnaast moet u het datalek ook melden aan de betrokkenen (de personen van wie de gegevens zijn gelekt), als u redelijkerwijs kunt vermoeden dat het lek negatieve gevolgen kan hebben voor hun persoonlijke levenssfeer.
Wat wij voor u doen
Bij Van der Kooij Besters Advocaten adviseren wij u over:
- De vraag of een incident kwalificeert als een datalek
- Of u moet melden, en zo ja: aan wie
- De juiste formulering en afhandeling van meldingen
- De documentatieplicht van datalekken binnen uw organisatie
Onze aanpak is praktisch en juridisch zorgvuldig.
Meer weten? Bekijk onze AVG Audit – dé manier voor het mkb om overzichtelijk en betaalbaar AVG-proof te worden én te blijven.
