Datalek Protocol
Protocol Datalekker
De AVG (Algemene Verordening Gegevensbescherming) schrijft voor dat een datalek binnen 72 uur gemeld moet worden bij de toezichthouder. Deze 72 uur gaan in vanaf het moment dat het datalek wordt ontdekt. Dit is een kort tijdsbestek, zeker bij een calamiteit.
Hoe stel ik vast of sprake is van een datalek?
Om te bepalen of sprake is van een datalek en aan welke partijen deze gemeld moet worden, kan volgend schema gehanteerd worden:
Wat is een datalek?
In de AVG wordt een datalek gedefinieerd als: “iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot enige ongeoorloofde verwerking daarvan. Datalekken moeten worden gemeld bij de toezichthouder en in sommige gevallen ook bij de betrokkene(n).
Ad 1: Voorbeelden van een beveiligingsincident
Een beveiligingsincident is niet per definitie een datalek. Voorbeelden van beveiligingsincidenten zijn;
Een kwijtgeraakte USB stick
Een gestolen laptop
Een inbraak door een hacker
Een malware besmetting
Een calamiteit
Ad 2: Wanneer is er sprake van een datalek
Volgens de AVG is er sprakevan een datalek bij verlies of onrechtmatige verwerking van persoonsgegevens. Er is sprake van verlies, indien:
Niemand de persoonsgegevens meer heeft
Er is geen completen en actuele reservekopie van de persoonsgegevens meer is.
Er is sprake van onrechtmatige verwerking, indien:
Persoonsgegvens zijn aangetast ( bij versleuteling door bijv ransomware);
Onbevoegde kennisneming van de persoonsgegevens plaatsvindt;
Persoonsgegevens ten onrechte zijn gewijzigd;
Persoonsgegevens ten onrechte zijn verstrekt.
Ad 3: Melden Autoriteit Persoonsgegevens
Een datalek dient gemeld te worden aan de Autoriteit Persoonsgegevens (AP), zeker wanneer het gaat om gegevens van gevoelige aard of om gegevens van grote groepen mensen. Gegevens van gevoelige aard zijn bijvoorbeeld gegevens over iemands financiële situatie, werkprestatie, medische aandoeningen, inloggegevens of BSN.
Meldloket datalekke AP
https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0