Datalek Protocol

Protocol Datalekker

De AVG (Algemene Verordening Gegevensbescherming) schrijft voor dat een datalek binnen 72 uur gemeld moet worden bij de toezichthouder. Deze 72 uur gaan in vanaf het moment dat het datalek wordt ontdekt. Dit is een kort tijdsbestek, zeker bij een calamiteit.

Hoe stel ik vast of sprake is van een datalek?

Om te bepalen of sprake is van een datalek en aan welke partijen deze gemeld moet worden, kan volgend schema gehanteerd worden:

Wat is een datalek?

In de AVG wordt een datalek gedefinieerd als: “iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot enige ongeoorloofde verwerking daarvan. Datalekken moeten worden gemeld bij de toezichthouder en in sommige gevallen ook bij de betrokkene(n).

Ad 1: Voorbeelden van een beveiligingsincident
 Een beveiligingsincident is niet per definitie een datalek. Voorbeelden van beveiligingsincidenten zijn;
 Een kwijtgeraakte USB stick
 Een gestolen laptop
 Een inbraak door een hacker
 Een malware besmetting
 Een calamiteit

Ad 2: Wanneer is er sprake van een datalek

Volgens de AVG is er sprakevan een datalek bij verlies of onrechtmatige verwerking van persoonsgegevens. Er is sprake van verlies, indien:
 Niemand de persoonsgegevens meer heeft
 Er is geen completen en actuele reservekopie van de persoonsgegevens meer is.
 Er is sprake van onrechtmatige verwerking, indien:
 Persoonsgegvens zijn aangetast ( bij versleuteling door bijv ransomware);
 Onbevoegde kennisneming van de persoonsgegevens plaatsvindt;
 Persoonsgegevens ten onrechte zijn gewijzigd;
 Persoonsgegevens ten onrechte zijn verstrekt.

Ad 3: Melden Autoriteit Persoonsgegevens

Een datalek dient gemeld te worden aan de Autoriteit Persoonsgegevens (AP), zeker wanneer het gaat om gegevens van gevoelige aard of om gegevens van grote groepen mensen. Gegevens van gevoelige aard zijn bijvoorbeeld gegevens over iemands financiële situatie, werkprestatie, medische aandoeningen, inloggegevens of BSN.

Meldloket datalekke AP
https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0