Een datalek – hoe zit het eigenlijk?

Bericht update 29 maart 2024 om 11:02

De Algemene Verordening Gegevensbescherming (AVG) is de richtlijn voor de bescherming van persoonsgegevens. Zijn er persoonsgegevens bereikbaar voor personen die hiertoe geen toegang zouden mogen hebben? Dan spreek je van een datalek. Ook het verloren gaan van persoonsgegevens zonder back-up is een datalek.

We krijgen veel vragen over datalekken en hoe je daarmee omgaat. In dit artikel zetten we de belangrijkste zaken voor je op een rij. En lees je hoe SoloPartners helpt bij het voldoen aan de verplichtingen rondom datalekken.

Er zijn vele voorbeelden van een datalek te bedenken; uitgelekte computerbestanden, een gestolen laptop en een zoekgeraakte usb-stick met persoonsgegevens. Of een afgedankte, maar niet schoongemaakte computer. Maar denk ook aan een onbeheerde en niet vergrendelde telefoon met daarop jouw agenda-afspraken met cliënten en hun zorgbehoefte.

Datalek melden?

Niet elk incident met persoonsgegevens-opslag levert een datalek op. Is het apparaat/voorwerp voldoende beveiligd en/of zijn de gegevens versleuteld? Dan is er pas sprake van een datalek als de beveiliging of de versleuteling is verbroken. De Autoriteit Persoonsgegevens (AP) heeft een lijst samengesteld met voorbeelden van wanneer je een datalek al dan niet moet melden.

Zodra de persoonsgegevens leesbaar of toegankelijk zijn voor onbevoegden, spreek je van een datalek. Dit moet je melden. Dat doe je via het meldformulier op de website van de Autoriteit Persoonsgegevens (AP). De autoriteit bepaalt vervolgens of de melding opvolging verdient. Dat kan beperkt blijven tot navragen of je de bij het datalek betrokken personen hebt geïnformeerd.  Maar er kan ook uitvoerig onderzoek verricht worden waarna eventueel een sanctie kan worden opgelegd. Met het grootste deel van de meldingen doet de AP niets; er is namelijk onvoldoende capaciteit om alle meldingen op te volgen. Dat betekent echter niet dat je meldingen achterwege kunt laten; het niet melden terwijl dat wel zou moeten, kan namelijk worden beboet.

Let op! De melding van een datalek moet binnen 72 uur na de ontdekking van het datalek zijn gedaan.

Betrokkenen informeren

Is er door het datalek sprake van een hoog risico voor de rechten en vrijheden van de betrokkenen? Dan moeten de betrokkenen bij het datalek worden geïnformeerd. Medische gegevens worden aangemerkt als bijzondere persoonsgegevens waarmee je extra zorgvuldig moet omgaan. Daarom leidt een datalek in de zorg er al snel toe dat je de betrokkenen moet informeren. ‘Doorbreking’ van het medisch beroepsgeheim levert namelijk altijd een schending van de rechten en vrijheden van de betrokkenen op.

Als betrokkenen moeten worden geïnformeerd, moet voor hen duidelijk worden of de persoonsgegevens ontoegankelijk of verloren zijn geraakt. Of dat ze in handen van een onbevoegde zijn gekomen. Bovendien moet je informeren welke gegevens het betreft en of die gegevens compleet of juist waren ten tijde van het lek.

‘Eigen’ datalekregister

Een datalek moet je altijd opnemen in een ‘eigen’ datalekregister. Dit geldt ook voor de datalekken die je uiteindelijk niet hoeft te melden aan de Autoriteit Persoonsgegevens en/of de betrokkenen. Ben je kwaliteitslid van SoloPartners? In de persoonlijke MijnSolo-omgeving vind je een tool waarin je datalekken eenvoudig kunt registreren en bewaren. Daarmee maken wij het je eenvoudiger om aan je verplichtingen op grond van de AVG te voldoen. Zo voorkom je vervelende discussies met de Autoriteit Persoonsgegevens .

Stappenplan bij een datalek

Kort samengevat… kom je tot de ontdekking dat er sprake is van een datalek? Doorloop dan de volgende stappen:

• Breng in kaart wat er is gebeurd.
• Onderzoek wie tot welke persoonsgegevens toegang kan hebben gehad.
• Voorkom meer schade door maatregelen te treffen. Stel data en bewijs veilig. Schakel hier, indien nodig, hulp bij in. Denk bijvoorbeeld aan het op afstand blokkeren van de toegang tot je telefoon.
• Bepaal of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP); op de site van AP staat een voorbeeldlijst die je kunt gebruiken als hulpmiddel.
• Breng betrokkene(n) op de hoogte van het datalek bij het (mogelijk) schenden van de privacy.
• Registreer het datalek in jouw datalekregister. Geef informatie over de ontstane situatie (inclusief oorzaak en gevolgen) en onderbouw de keuze van het al dan niet melden bij de Autoriteit Persoonsgegevens (AP). Beschrijf de verbeteracties en de wijze waarop je deze gaat uitvoeren.

Tips om een datalek te voorkomen

Je kunt zelf het nodige doen om een datalek te voorkomen. Verwijder bijvoorbeeld persoonsgegevens die je niet meer nodig hebt of die je al een tijd niet hebt gebruikt. En bewaar persoonsgegevens op één vaste plek (apparaat of map op je harde schijf). Dat maakt het makkelijker om gegevens te beheren en zo ‘blijven ze in beeld’. Bovendien is het dan ook makkelijker om de gegevens te beveiligen en eventueel versleuteld te bewaren.

Meer informatie

Heb je nog vragen over datalekken, de AVG of wil je meer informatie over de pakketten die SoloPartners biedt? Neem dan gratis en vrijblijvend contact op met onze klantenservice.