FAQ Datalek

De term ‘datalek’ komt in de Wet bescherming persoonsgegevens niet voor. Veelal wordt bedoeld een incident waarbij persoonsgegevens (mogelijk) bij een onbevoegde partij terecht zijn gekomen. Daarbij gelden nog wel wat voorwaarden.

Wettelijk gezien gaat het om een inbreuk op de beveiliging zoals bedoeld in artikel 13 van de Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of die gevolgen heeft voor de bescherming van persoonsgegevens. De beveiliging zoals bedoeld in artikel 13 Wbp kunnen zowel technische maatregelen betreffen (zoals cryptografie), als orginisatorische maatregelen.

Wanneer een organisatie geconfronteerd wordt met een (mogelijk) datalek zijn vier zaken van belang:

  1. Allereerst is het van belang om de omvang of de reikwijdte daarvan te bepalen: welke gegevens zijn (mogelijk) gelekt, naar wie, op welke wijze, etc.
  2. Daarnaast moet direct bepaald worden of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. Dat moet uiterlijk binnen 72 uur na ontdekking van het lek gebeuren. Vraag hierbij zonodig advies aan – het niet-melden van een datalek is een beboetbaar feit, terwijl het ten onrechte aanmerken als een meldplichtig datalek mogelijk andere gevolgen met zich brengt.
  3. Ten derde moet bepaald worden of de betrokkenen geïnformeerd moeten worden. ook hierbij geldt: vraag zo nodig advies.
  4. Tot slot moet de schade zo snel mogelijk beperkt worden, en indien van toepassing, gecompenseerd

Bekijk verder altijd of voor de toekomst (aanvullende) maatregelen nodig zijn om een (nieuw) datalek te voorkomen.

Als burger heb je recht op bescherming van je persoonsgegevens. Persoonsgegevens die je geeft aan een organisatie, mogen alleen gebruikt worden voor het doel waarvoor jij die gegevens gegeven hebt. Daarnaast moet de organisatie zorgen voor een goede beveiliging van jouw gegevens, zodat deze niet terecht komen bij een persoon of organisatie die daartoe bevoegd is. Bij schending van dit recht, heb je recht op een schadeloosstelling en op nadeelscompensatie, hoewel niet geheel duidelijk is wat dat laatste betekent.

Als het gaat om een overtreding van de Wet bescherming persoonsgegevens, dan geldt een maximale boete van € 820.000,- of 10% van de jaaromzet, per overtreding.

Als het gaat om een strafbaar feit – dat is vaak gerelateerd aan de wijze van ‘datalek’, dan kan daar gevangenisstraf op staan.

Datalekken komen meer voor. Persoonsgegevens spelen een steeds grotere rol in onze samenleving. Doordat daarvan meer gebruik gemaakt wordt, komen ook fouten daarmee vaker voor. Ook criminaliteit ten aanzien van persoonsgegevens komt vaker voor. Daarnaast zie je ook steeds vaker een ander type: persoonsgegevens worden niet gebruikt voor het doel waarvoor ze zijn gegeven, maar een ander doel.

In het tweede kwartaal van 2017 zijn 2.397 meldingen van een datalek gedaan. In 45% van de gevallen ging het om het toezenden van persoonsgegevens aan de verkeerde ontvanger. De meest gelekte gegevens waren: naam- en adresgegevens, geboortedatum, BSN, financiële gegevens en gezondheidsgegevens.