top of page
wit vlak
wit vlak
logo

WAT IS EEN GDPR GEGEVENSINCIDENT?

Volgens de GDPR wordt een gegevensincident gedefinieerd als "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens".

Definitie en voorbeelden van datalekken

Er zijn drie hoofdtypen van GDPR gegevensincidenten:

  • Inbreuk op vertrouwelijkheid: Wanneer persoonsgegevens ongeoorloofd worden gedeeld of ingezien

  • Inbreuk op beschikbaarheid: Als gegevens tijdelijk of permanent ontoegankelijk zijn

  • Inbreuk op integriteit: Wanneer persoonsgegevens ongeoorloofd zijn gewijzigd

 

Verschil tussen incident en datalek

Een belangrijk onderscheid is dat niet elk beveiligingsincident een datalek is. Een incident betreft elke gebeurtenis waarbij de beveiliging mogelijk in gevaar is gebracht. Een datalek ontstaat specifiek wanneer persoonsgegevens betrokken zijn. Bijvoorbeeld: het verliezen van een sleutel is een incident, maar wordt pas een datalek als hierdoor toegang is verkregen tot persoonsgegevens.

Impact op betrokkenen

De gevolgen van een GDPR breach kunnen ernstig zijn voor betrokkenen. Deze kunnen bestaan uit:

  • Fysieke schade: Bijvoorbeeld wanneer medische gegevens ontoegankelijk worden

  • Materiële schade: Zoals financieel verlies door identiteitsdiefstal

  • Immateriële schade: Waaronder discriminatie, reputatieschade of inbreuk op privacy

Meer dan 80% van de datalekken ontstaat per ongeluk, bijvoorbeeld door het versturen van e-mails naar verkeerde ontvangers of het verliezen van apparatuur met persoonsgegevens.

rood vlak
icoon xwing

GEGEVENSINCIDENT
WAT NU?

Elke dag worden er gemiddeld 15 tot 20 datalekken gemeld bij de Autoriteit Persoonsgegevens in Nederland. In België ligt dit getal lager maar het aantal meldingen stijgt ook jaar na jaar. Deze GDPR data breaches kunnen grote gevolgen hebben voor zowel organisaties als betrokkenen.

Een datalek kan variëren van een verkeerd verstuurde e-mail tot een grootschalige hack van klantengegevens. De boetes voor het niet correct melden of afhandelen van een GDPR breach kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet. Daarnaast kan een datalek leiden tot reputatieschade en verlies van vertrouwen bij klanten.

In deze gids ontdekt u alles wat u moet weten over GDPR gegevensincidenten: van de definitie en meldplicht tot preventieve maatregelen. U leert wanneer een incident gemeld moet worden, hoe u risico's beoordeelt en welke stappen u moet nemen bij een datalek. Ook krijgt u praktische handvatten voor het opstellen van een effectief responsprogramma.

WETTELIJKE MELDPLICHT EN TERMIJNEN

Bij een GDPR gegevensincident moet u snel handelen om aan de wettelijke meldplicht te voldoen. De regelgeving stelt strikte eisen aan zowel de timing als de inhoud van uw melding.

72-uurs meldingsplicht aan de GBA

Wanneer u kennis neemt van een datalek, moet u dit zonder onredelijke vertraging en indien mogelijk binnen 72 uur melden aan de Gegevensbeschermingsautoriteit (GBA). Deze verplichting geldt echter alleen als het incident waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen.

Als u de 72-uurs deadline niet haalt, moet u een geldige reden opgeven voor de vertraging. Let op: weekenden, vakanties, ziekte of drukte worden niet als geldige redenen beschouwd.

Wanneer betrokkenen informeren

U moet de betrokkenen direct informeren wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden.

Dit geldt bijvoorbeeld bij:

  • Diefstal van gevoelige gegevens zoals medische informatie

  • Situaties waarbij identiteitsfraude mogelijk is

  • Gevallen met significante privacy-impact

 

Documentatie-eisen

Voor elk gegevensincident moet u een intern register bijhouden met de volgende informatie:

- Feiten: Aard van het incident en getroffen gegevens

- Impact: Gevolgen voor betrokkenen

- Maatregelen: Genomen corrigerende acties

- Genomen corrigerende acties

- Tijdlijn: Moment van ontdekken, de genomen maatregelen en melding

Deze documentatie is essentieel voor het aantonen van uw compliance en kan worden opgevraagd door de toezichthouder. Bij niet-naleving van de meldplicht riskeert u boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet.

Laat u tijdig bijstaan door de experten van Mr. Franklin om een correcte meding te maken bij de GBA en sancties te voorkomen.

PREVENTIEVE MAATREGELEN

Om datalekken te voorkomen moet u een combinatie van technische en organisatorische maatregelen implementeren. Een effectieve beveiligingsstrategie vereist een gelaagde aanpak.
 

Technische beveiligingsmaatregelen
 

De basis van uw gegevensbescherming ligt in robuuste technische maatregelen. Moderne techniek is essentieel voor adequate beveiliging van persoonsgegevens. Implementeer deze kernelementen:

  • Encryptie en versleuteling voor gegevens in rust en transit

  • Firewall en antivirussoftware met regelmatige updates

  • Tweefactorauthenticatie voor toegangsbeveiliging

  • Back-upsystemen voor gegevensbescherming


Organisatorische maatregelen
 

Naast technische oplossingen zijn organisatorische maatregelen cruciaal voor effectieve gegevensbescherming. Uit onderzoek blijkt dat maar liefst 74% van alle datalekken ontstaat door het versturen van informatie naar verkeerde ontvangers.
 

Medewerkerstraining

Uw medewerkers vormen de eerste verdedigingslinie tegen datalekken. Training is essentieel omdat 79% van alle datalekken wordt veroorzaakt door menselijke fouten. Een effectief trainingsprogramma moet zich richten op:

  • Herkenning van beveiligingsrisico's en phishing-pogingen

  • Veilige omgang met persoonsgegevens

  • Procedures voor incidentmelding

  • Bewustwording van GDPR-verplichtingen
     

Het is belangrijk om te beseffen dat beveiligingsmaatregelen continu geëvalueerd en geactualiseerd moeten worden. Technologie evolueert snel en nieuwe dreigingen ontstaan voortdurend. Daarom is het essentieel dat u regelmatig uw beveiligingsmaatregelen test en bijwerkt om een adequaat beschermingsniveau te behouden.

Mr. Franklin kan specifieke trainingen op maat voorzien binnen uw organisatie rond GDPR, omgaan met veiligheidsincidenten en datalekken, het veiligheidsbeleid binnen uw organisatie en rond phishing. Vraag vrijblijvend een offerte op!

RISICO BEOORDELING

Om effectief met GDPR gegevensincidenten om te gaan, moet u een systematische aanpak hanteren voor risicobeoordeling. Een doordachte methodologie helpt u bepalen welke acties nodig zijn bij een datalek.

Hoog vs. laag risico incidenten

Een incident wordt als hoog risico geclassificeerd wanneer het kan leiden tot:

  • Fysieke, materiële of immateriële schade voor betrokkenen

  • Discriminatie of identiteitsdiefstal

  • Financiële verliezen of reputatieschade

  • Verlies van vertrouwelijkheid van gevoelige gegevens

Volgens de richtlijnen moet u bij een hoog risico incident altijd de betrokkenen informeren. Bij laag risico incidenten, waarbij adequate beveiligingsmaatregelen waren getroffen zoals encryptie, is melding aan betrokkenen niet verplicht.

Beslisboom voor melding

Voor een effectieve risicobeoordeling kunt u deze stappen volgen:

  1. Identificatie: Bepaal of er persoonsgegevens zijn gelekt

  2. Impact analyse: Beoordeel de ernst van de mogelijke gevolgen

  3. Risicoclassificatie: Bepaal of het een hoog of laag risico betreft

  4. Meldingsbesluit: Beslis over melding aan AP en/of betrokkenen

 

Bij twijfel over de risico-inschatting is het raadzaam om het incident te melden, aangezien de Gegevensbescherlingsautoriteit of de Autoriteit Persoonsgegevens indien u een Nederlandse onderneming bent kan onderzoeken of u correct heeft gehandeld. Een goed gedocumenteerde risicobeoordeling kan helpen bij het rechtvaardigen van uw beslissing.

Q&A

Q1. Wat wordt beschouwd als een GDPR gegevensincident?

Een GDPR gegevensincident is een inbreuk op de beveiliging die leidt tot ongeoorloofde toegang, vernietiging, verlies of wijziging van persoonsgegevens. Dit kan variëren van een verkeerd verstuurde e-mail tot een grootschalige hack van klantengegevens.

Q2. Binnen welke termijn moet een datalek gemeld worden?

Een datalek moet zonder onredelijke vertraging en indien mogelijk binnen 72 uur na ontdekking gemeld worden aan de Gegevensbeschermingsautoriteit (GBA), als het incident waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen.

Q3. Wanneer moeten betrokkenen geïnformeerd worden over een datalek?

 

Betrokkenen moeten direct geïnformeerd worden wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden, bijvoorbeeld bij diefstal van gevoelige gegevens of mogelijke identiteitsfraude.

Q4. Hoe kan een organisatie het risico van een datalek beoordelen?

 

Een organisatie kan het risico beoordelen door factoren te evalueren zoals de aard van het incident, de gevoeligheid van de data, de identificeerbaarheid van betrokkenen en de mogelijke impact op hen. Deze beoordeling helpt bepalen of het een hoog of laag risico incident betreft.

Q5. Welke preventieve maatregelen kunnen datalekken voorkomen?

 

Effectieve preventieve maatregelen omvatten technische oplossingen zoals encryptie en meerstapsverificatie, organisatorische maatregelen zoals toegangscontrole en een informatiebeleid, en regelmatige training van medewerkers in veilige omgang met persoonsgegevens en herkenning van beveiligingsrisico's.

VOLGENDE ORGANISATIES
VERTROUWEN OP MR. FRANKLIN

bottom of page