Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Datalek

Wat is een datalek?

Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het moet dus gaan om een inbreuk op de beveiliging van persoonsgegevens. De persoonsgegevens zijn niet beschermd geweest, mogelijk verloren of onrechtmatig verwerkt. Het is dus een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Een datalek wordt door de AP gedefinieerd als toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling was. Het is daarmee niet beperkt tot het naar buiten komen van informatie – een concrete lek –, maar ondervangt ook de onrechtmatige verwerking van gegevens, waarbij bescherming van deze data niet conform de wetgeving is.

Wij hebben vijf concrete voorbeelden op een rij gezet, waarbij je altijd aan de bel moet trekken – ook als het maar een onschuldige fout is.

1. ‘Offline’ datalekken: de papierbak

We vergeten vaak dat het kan zijn dat er überhaupt geen elektronica aan te pas komt. Bijvoorbeeld papieren dossiers in de schoudertas, de documenten die open en bloot op je bureau liggen of de printjes die je eigenlijk niet zomaar in de papierpak naast de printer had moeten gooien. Want stonden daar geen gegevens bij die niet voor derden bedoeld waren?

2. Verlies van een usb-stick of laptop

Het tweede voorbeeld is waarschijnlijk een stukje herkenbaarder. Het wordt immers regelmatig aangehaald als het over datalekken gehad. Een usb-stickje verloren in de trein, of een laptop gestolen van de achterbank van je auto. Pijnlijk als daar bedrijfsdocumenten op te vinden zijn, bijvoorbeeld met persoonsgegevens van klanten of privacygevoelige informatie van patiënten. Let op: als de gegevens versleuteld op je laptop of usb-stick staan, is de AP een stuk coulanter!

3. Diefstal van een telefoon

In het verlengde van nummer 2 is verlies en diefstal van een telefoon dus ook een reden voor alarm. De moderne smartphone is een primaire bron voor datalekken. De tijden van slechts een handjevol telefoonnummers en wat potentieel privacygevoelige sms’jes op dat toestel zijn voorbij. Want bedenk maar eens hoe je telefoon jou toegang geeft tot heel veel informatie, en hoeveel mogelijkheden dat biedt als het apparaat in de verkeerde handen belandt? E-mail, notities, automatische inlog voor bedrijfswebsites en –systemen, noem maar op.

4. Phishing en ransomware

Hackers die via phishing en social engineering toegang weten te krijgen tot een netwerk, kunnen zich ook entree verschaffen tot allerlei belangrijke data. En ermee aan de haal gaan, of deze data ‘simpelweg’ manipuleren om er op een andere wijze voordeel mee te behalen. En wie bekend is met ransomware, weet dat virussen en malware een stevige grip kunnen hebben op je computer of complete systemen, waarbij de integriteit van de gegevensbescherming eveneens in gevaar is geraakt. Reden genoeg om dat bij de juiste persoon te rapporteren.

Over ransomware en de afweging of het wel of geen datalek is, krijgt de AP overigens geregeld vragen, die je op deze pagina beantwoord vindt. Het komt erop neer dat organisaties een geval van ransomware moeten melden als dat ‘leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als er een aanzienlijke kans bestaat dat dit gebeurt.’

5. De Menselijke Fout

De mens tot slot is in verreweg de meeste gevallen de zwakste schakel in de beveiligingsketen. Dat moet niet gezien worden als een beschuldiging of een negatief oordeel, maar als belangrijk aandachtspunt. Hackers vertrouwen er namelijk op dat de mensen zich onvoldoende bewust zijn van de informatie die ze in bezit hebben, of niet veilig genoeg met technologie omgaan. Denk ook aan een mailtje waarbij per abuis de verkeerde mensen op CC staan, of een bestand dat zonder de juiste voorzorgsmaatregelen en versleuteling verstuurd wordt. En natuurlijk kan het een keer gebeuren dat je ergens wat hebt laten liggen, toch op dat verkeerde linkje hebt geklikt, of een dubieus bestand hebt geopend. Maar maak er wel altijd melding van. De gevolgen kunnen vele malen groter zijn dan dat onschuldige foutje rechtvaardigt.

Inbraak en datalek – clean desk policy

Een clean desk policy is een interne regel die bepaalt hoe medewerkers informatie en apparatuur moeten beheren en beschermen op hun werkplek. Het bevat richtlijnen voor het opruimen van papieren en het vergrendelen van computerapparatuur wanneer ze niet worden gebruikt, met als doel het risico op diefstal of verlies van vertrouwelijke informatie te verminderen. Dit is vooral belangrijk om de privacy van klanten en de beveiliging van bedrijfsgegevens te beschermen en te voorkomen dat deze belangrijke informatie in verkeerde handen valt.

Registeren van een datalek – wat is een datalek register?

Een datalekregister is een database of een document waarin bedrijven of organisaties bijhouden en registreren van alle bekende datalekken. Het bevat informatie over de aard van het datalek, hoeveel personen er zijn getroffen, wat er is gedaan om het lek te verhelpen en welke maatregelen zijn genomen om vergelijkbare lekken in de toekomst te voorkomen.

Een datalekregister is verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie. Het is bedoeld om organisaties en overheden in staat te stellen om snel te reageren op datalekken en ervoor te zorgen dat de betrokken partijen tijdig worden geïnformeerd. Het register is ook nuttig om de effectiviteit van de beveiligingsmaatregelen van een organisatie te evalueren en eventuele verbeterpunten te identificeren.

Afspraken meldplicht datalekken

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. De meldplicht voor datalekken is vastgelegd in de Algemene verordening gegevensbescherming (AVG). Volgens de AVG moeten organisaties datalekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens als het een aanzienlijke risico oplevert voor de rechten en vrijheden van betrokkenen. Indien het datalek betrekking heeft op persoonsgegevens, zoals naam, adres, geboortedatum, etc., moeten de betrokkenen ook worden geïnformeerd. De AVG legt dus een duidelijke verplichting op voor organisaties om datalekken snel te detecteren, te analyseren en te melden.

Wat te doen bij datalekken?

Bij het detecteren van een datalek zijn de volgende stappen aanbevolen:

  1. Stop de bron van het lek: Zoek uit waar het datalek vandaan komt en stop de bron zo snel mogelijk.
  2. Beperk de schade: Zorg dat de gevolgen van het datalek zo beperkt mogelijk blijven. Dit kan door bijvoorbeeld verdachte accounts te blokkeren of beveiligingsmaatregelen te treffen.
  3. Analyseer het lek: Bepaal welke gegevens zijn gelekt en hoeveel personen daardoor kunnen worden getroffen.
  4. Meld het lek: Meld het lek zo snel mogelijk aan de Autoriteit Persoonsgegevens en betrokkenen.
  5. Volg de procedures: Volg de interne procedures voor het omgaan met datalekken en rapporteer de bevindingen aan de juiste personen.
  6. Evaluatie en verbetering: Evaluatie hoe het datalek heeft kunnen gebeuren en neem de nodige maatregelen om soortgelijke datalekken in de toekomst te voorkomen.

Overzichten meldingen datalekken

Er zijn verschillende bronnen waar je een overzicht van meldingen van datalekken kunt vinden:

  1. Autoriteit Persoonsgegevens: De Autoriteit Persoonsgegevens is de toezichthouder op het gebied van de AVG en houdt een register bij van gemelde datalekken. Je kunt de meldingen op de website van de Autoriteit Persoonsgegevens bekijken.
  2. Media: Sommige datalekken worden breed uitgemeten in de media, zodat consumenten op de hoogte worden gebracht van mogelijke risico’s voor hun persoonsgegevens.
  3. Onderzoeksbureaus: Onderzoeksbureaus, zoals securitybedrijven en consultants, houden vaak een database bij van bekende datalekken en kunnen deze informatie delen met hun klanten en het publiek.
  4. Overheid: In sommige landen publiceert de overheid een lijst van gemelde datalekken.

Het is belangrijk om te weten dat niet alle datalekken worden gemeld of aan het publiek worden bekendgemaakt, dus een overzicht van meldingen is nooit volledig. Het is ook verstandig om proactieve maatregelen te nemen om je eigen gegevens te beveiligen, zoals het gebruik van sterke wachtwoorden en twee-factor-authenticatie.

Datalek melden bij AP en bij betrokkenen?

Volgens de AVG moet een datalek binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens als het een aanzienlijk risico oplevert voor de rechten en vrijheden van betrokkenen. Daarnaast moeten de betrokkenen ook worden geïnformeerd over het datalek, tenzij er een uitzonderlijke situatie is waardoor dit niet noodzakelijk is.

Het melden van een datalek aan de Autoriteit Persoonsgegevens en betrokkenen is een verantwoordelijkheid van de organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens. Het doel van het melden is om de Autoriteit Persoonsgegevens en de betrokkenen op de hoogte te stellen van de risico’s voor hun persoonsgegevens en om te helpen bij het beperken van de schade.

Het is belangrijk om snel en adequaat op een datalek te reageren en te volgen wat de verplichtingen zijn onder de AVG. Dit helpt om het vertrouwen van betrokkenen en het publiek in de organisatie te behouden en te versterken. Ook als een datalek leidt tot ‘een aanzienlijke kans’ op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht.

Melden datalek bij het meldloket, hoe werkt dat eigenlijk?

Het melden van een datalek kan via het meldloket van de Autoriteit Persoonsgegevens gedaan worden. Dit meldloket is een online platform waar organisaties datalekken kunnen melden. Het melden van een datalek via het meldloket is verplicht als het lek een aanzienlijk risico oplevert voor de rechten en vrijheden van betrokkenen.

Het melden van een datalek via het meldloket bestaat uit verschillende stappen:

  1. Inloggen: Organisaties loggen in op het meldloket met een DigiD of een organisatieaccount.
  2. Melding invullen: De organisatie geeft informatie over het datalek, zoals de oorzaak, de omvang en de maatregelen die zijn genomen.
  3. Verzenden: Na het invullen van de melding wordt deze verzonden naar de Autoriteit Persoonsgegevens.

Het is belangrijk om de informatie in het meldloket nauwkeurig en compleet in te vullen, zodat de Autoriteit Persoonsgegevens een goed beeld heeft van het lek en de mogelijke gevolgen. Het melden via het meldloket is snel en eenvoudig, en helpt organisaties om snel en adequaat op een datalek te reageren en aan hun verplichtingen onder de AVG te voldoen.

Melden aan de AP en aan de betrokkenen niet verplicht

Het is niet altijd verplicht om een datalek te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen. Melding is alleen verplicht als het lek een aanzienlijk risico oplevert voor de rechten en vrijheden van betrokkenen. Als het risico klein is en er adequaat maatregelen zijn genomen om het risico te beperken, dan hoeft het lek niet gemeld te worden.

De organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens moet de risico’s beoordelen en beslissen of het lek gemeld moet worden of niet. Het is belangrijk om deze beoordeling zorgvuldig uit te voeren en te documenteren, zodat de organisatie kan aantonen dat ze aan hun verplichtingen onder de AVG hebben voldaan.

Datalekmelding voorbereiden

Om een datalek adequaat en snel te kunnen melden, is het verstandig om een voorbereiding te treffen. Hieronder staan enkele stappen die u kunt nemen:

  1. Interne procedures opstellen: Stel procedures op voor het identificeren en melden van datalekken, zodat iedereen weet hoe hij of zij moet handelen bij een datalek.
  2. Contactpersonen benoemen: Benoem contactpersonen die verantwoordelijk zijn voor het melden van datalekken aan de Autoriteit Persoonsgegevens en de betrokkenen.
  3. Beveiliging verbeteren: Zorg voor voldoende beveiliging van persoonsgegevens, zodat het risico op datalekken wordt verkleind.
  4. Oefeningen houden: Voer regelmatig oefeningen uit om te zorgen dat iedereen op de hoogte is van de interne procedures en weet hoe hij of zij moet handelen bij een datalek.
  5. Documentatie bijhouden: Bewaar alle relevante documentatie over de interne procedures, contactpersonen en beveiliging, zodat u dit snel kunt raadplegen bij een datalek.

Door deze stappen te nemen, kunt u zich beter voorbereiden op het melden van een datalek. Hierdoor kunt u snel en adequaat op een datalek reageren en aan uw verplichtingen onder de AVG voldoen.

Voorbeelden te melden datalekken

Er zijn veel verschillende situaties waarin een datalek moet worden gemeld. Hieronder staan enkele voorbeelden:

  1. Diefstal van persoonsgegevens: Bijvoorbeeld als een laptop met persoonsgegevens wordt gestolen of als iemand ongeautoriseerd toegang krijgt tot een databank met persoonsgegevens.
  2. Verlies van persoonsgegevens: Bijvoorbeeld als een USB-stick met persoonsgegevens wordt verloren of als een e-mail met persoonsgegevens per ongeluk aan de verkeerde persoon wordt verstuurd.
  3. Datahacking: Bijvoorbeeld als hackers ongeautoriseerd toegang krijgen tot een databank met persoonsgegevens of als er sprake is van een phishingaanval waarbij persoonsgegevens worden gestolen.
  4. Foutieve verwerking van persoonsgegevens: Bijvoorbeeld als persoonsgegevens worden gedeeld met derden zonder toestemming of als persoonsgegevens worden verwerkt voor doeleinden waarvoor geen toestemming is verleend.
  5. Uitlekken van persoonsgegevens: Bijvoorbeeld als er een technische fout is in een website of app waardoor persoonsgegevens onbedoeld op internet komen te staan.

persoonsgegevens

Acties naar aanleiding van een datalek

Na het constateren van een datalek is het belangrijk om onmiddellijk actie te ondernemen om de gevolgen van het datalek zoveel mogelijk te beperken en om de oorzaak van het datalek te achterhalen. Hieronder staan enkele acties die na een datalek kunnen worden ondernomen:

  1. Beperken van de gevolgen: Zorg ervoor dat de toegang tot de gegevens die zijn blootgesteld, zo snel mogelijk wordt beperkt en maak gebruik van technische en organisatorische maatregelen om te voorkomen dat de gegevens verder worden verspreid.
  2. Melding doen bij de Autoriteit Persoonsgegevens (AP): Als het datalek moet worden gemeld aan de AP, dan moet dit zo snel mogelijk worden gedaan.
  3. Informederen van de datalek betrokkenen: Als de betrokkenen moeten worden geïnformeerd over het datalek, dan moet dit zo snel mogelijk worden gedaan.
  4. Onderzoek naar de oorzaak: Voer een onderzoek uit naar de oorzaak van het datalek en neem actie om te voorkomen dat het datalek zich opnieuw voordoet.
  5. Verbeteren van de beveiliging: Zorg ervoor dat de beveiliging van de persoonsgegevens wordt verbeterd, zodat het risico op toekomstige datalekken wordt verminderd.

Voorkomen van datalekken – fysieke beveiliging

Er zijn verschillende manieren om fysieke beveiliging van persoonsgegevens te verbeteren en datalekken te voorkomen. Hieronder staan enkele stappen die u kunt nemen:

  1. Beperk toegang tot persoonsgegevens: Beperk toegang tot persoonsgegevens tot alleen degenen die deze informatie nodig hebben voor het uitvoeren van hun werkzaamheden.
  2. Gebruik sloten: Gebruik sloten op deuren van kasten of ruimten waar persoonsgegevens worden opgeslagen, zodat niemand ongeautoriseerd toegang kan krijgen.
  3. Bewaar persoonsgegevens op afgesloten locaties: Bewaar persoonsgegevens op afgesloten locaties, zoals kluisjes of afgesloten kasten, zodat ze niet gemakkelijk toegankelijk zijn.
  4. Beveilig servers: Zorg voor fysieke beveiliging van servers waar persoonsgegevens opgeslagen zijn, door bijvoorbeeld de servers te beveiligen met een slot of een beveiligde ruimte.
  5. Gebruik fysieke beveiliging bij vervoer: Bij het vervoer van persoonsgegevens, zoals bij het transport van tapes of harde schijven, dient u fysieke beveiliging te gebruiken, zoals een slot of een beveiligde tas.

Door deze stappen te nemen, kunt u de fysieke beveiliging van persoonsgegevens verbeteren en het risico op datalekken verkleinen. Hierdoor kunt u de privacy van de betrokkenen beter beschermen en aan uw verplichtingen onder de AVG voldoen.

Voorbeelden hoog risico

Blijkt dat het datalek ook echt fysieke, materiële of immateriële schade voor de betrokkenen kan veroorzaken, dan spreken we van een datalek met een hoog risico.

Objectief beoordelen risico’s datalek

Het objectief beoordelen van risico’s van een datalek vereist een systematische en methodische aanpak. Hieronder vindt u een aantal stappen die kunnen helpen bij het beoordelen van de risico’s:

  1. Inventariseer de data: Maak een lijst van de persoonlijke en vertrouwelijke informatie die u beheert en bepaal de gevoeligheid van deze informatie.
  2. Beoordeel de dreigingen: Identificeer de potentiële dreigingen voor uw data en beoordeel hun waarschijnlijkheid en impact.
  3. Bepaal de controles: Bepaal de controles die zijn geïmplementeerd om de risico’s te beheersen en beoordeel de effectiviteit van deze controles.
  4. Beoordeel het risico: Beoordeel het niveau van risico voor elk type persoonlijke of vertrouwelijke informatie door de waarschijnlijkheid en impact van een datalek te combineren.
  5. Maak actieplannen: Maak actieplannen om de risico’s te beheersen en voer deze acties uit.

Wanneer is er sprake van een inbreuk in verband met persoonsgegevens?

Er is sprake van een inbreuk op de bescherming van persoonsgegevens wanneer er ongeoorloofde of ongeautoriseerde toegang, verwerking of verspreiding van persoonsgegevens plaatsvindt. Dit kan het gevolg zijn van beveiligingslekken, menselijke fouten of cyberaanvallen.

Er kan ook sprake zijn van een inbreuk op de bescherming van persoonsgegevens wanneer persoonsgegevens niet op een adequaat en beveiligde manier worden opgeslagen of verwerkt. Dit kan het gevolg zijn van gebreken in de technische beveiliging of in de organisatorische procedures.

In beide gevallen kan een inbreuk leiden tot de beschadiging, verlies of onrechtmatige verspreiding van persoonsgegevens, wat kan leiden tot privacy-schade voor de personen waarvan de gegevens betrokken zijn.

Hoe informeer je de betrokkenen?

Op grond van de AVG dient u een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie. In de AVG is bepaald dat een organisatie een betrokkene op de hoogte moet brengen van een inbreuk op de persoonsgegevens indien de inbreuk ‘een hoog risico’ voor betrokkenen inhoudt.

Inhoud van de datalekmelding aan de AP

Een datalekmelding aan de Autoriteit Persoonsgegevens (AP) moet de volgende informatie bevatten:

  1. Identificatie van de verwerkingsverantwoordelijke: naam en contactgegevens van de organisatie of bedrijf die verantwoordelijk is voor de verwerking van persoonsgegevens.
  2. Beschrijving van het datalek: een duidelijke omschrijving van wat er is gebeurd, wanneer het is gebeurd en hoe het is ontdekt.
  3. Aantal en soort persoonsgegevens: de aard en omvang van de persoonsgegevens die zijn gelekt en de categorieën betrokkenen waarvan de gegevens afkomstig zijn.
  4. Gevolgen voor de betrokkenen: een inschatting van de mogelijke gevolgen voor de privacy van de betrokkenen.
  5. Maatregelen die zijn genomen of nog genomen worden: de stappen die zijn ondernomen of nog zullen worden ondernomen om de gevolgen van het datalek te beperken.
  6. Contactpersoon voor de AP: de naam en contactgegevens van de persoon die beschikbaar is om verdere vragen te beantwoorden.

Wat zijn de voorwaarden voor een schadevergoeding bij een datalek?

Er zijn geen specifieke voorwaarden voor schadevergoeding bij een datalek die in wet- en regelgeving zijn vastgelegd. Of iemand recht heeft op schadevergoeding bij een datalek, is afhankelijk van de specifieke omstandigheden van het geval.

Een belangrijke overweging is of er sprake is van een verwijtbare fout door de verantwoordelijke voor de verwerking van persoonsgegevens, zoals bijvoorbeeld onvoldoende beveiliging of een onjuiste bewerking van gegevens. Als de verantwoordelijke de verplichtingen uit de wet niet nakomt, is er mogelijk sprake van een verwijtbare fout en daarmee van een grondslag voor schadevergoeding.

Andere overwegingen die kunnen spelen, zijn de aard en de omvang van de gegevens die zijn gelekt, de mogelijke gevolgen voor de betrokkenen en de maatregelen die zijn genomen om de gevolgen te beperken.

In sommige gevallen kan het noodzakelijk zijn om juridische stappen te ondernemen om een schadevergoeding af te dwingen. Het is raadzaam om in dergelijke gevallen juridisch advies in te winnen.

Algemene vragen over datalekken en de meldplicht

  1. Hieronder staan enkele algemene vragen over datalekken en de meldplicht:
    1. Wat is een datalek?
    • Een datalek is een beveiligingsincident waarbij persoonsgegevens onbedoeld of onrechtmatig worden verstrekt aan derden.
    1. Wie moet een datalek melden aan de Autoriteit Persoonsgegevens (AP)?
    • Bedrijven en organisaties die persoonsgegevens verwerken moeten een datalek melden aan de AP als dit leidt tot een hoog risico voor de privacy van betrokkenen.
    1. Hoe snel moet een datalek worden gemeld aan de AP?
    • Het datalek moet zo snel mogelijk, en in ieder geval binnen 72 uur, worden gemeld aan de AP.
    1. Moeten betrokkenen altijd worden geïnformeerd over een datalek?
    • Het is niet altijd verplicht om betrokkenen te informeren over een datalek. Het hangt af van de specifieke situatie en de gevolgen voor de privacy van de betrokkenen.
    1. Wat is de verantwoordelijkheid van de verwerkingsverantwoordelijke bij een datalek?
    • De verwerkingsverantwoordelijke is verantwoordelijk voor het nemen van maatregelen om de gevolgen van het datalek zoveel mogelijk te beperken en voor het melden van het datalek aan de AP en eventueel aan betrokkenen.
    1. Hoe kun je datalekken voorkomen?
    • Datalekken kunnen worden voorkomen door de implementatie van technische en organisatorische beveiligingsmaatregelen, het beperken van de toegang tot persoonsgegevens en het regelmatig uitvoeren van privacybeoordelingen en risico-analyses.