top of page
wit vlak
logo

WAT IS EEN GEGEVENSLEK?


Een datalek of gegevenslek ontstaat wanneer persoonsgegevens onbedoeld worden blootgesteld, gewijzigd, vernietigd of verloren gaan. Dit kan variëren van een gehackte database tot een verkeerd verzonden e-mail. Onder de GDPR (AVG) bent u verplicht om ernstige datalekken te melden bij de Gegevensbeschermingsautoriteit (GBA) en, indien nodig, ook aan de betrokkenen.



VOORBEELDEN GEGEVENSLEK:

Hier zijn enkele voorbeelden van veelvoorkomende gegevenslekken:

 

1. Verlies van een laptop of USB-stick

 

Een medewerker verliest een laptop, smartphone, of USB-stick waarop persoonsgegevens staan. Als deze apparaten niet voldoende beveiligd zijn, zoals met encryptie, kunnen de gegevens toegankelijk zijn voor onbevoegden.

 

2. Phishing-aanval

 

Een medewerker ontvangt een frauduleuze e-mail en deelt per ongeluk inloggegevens of andere gevoelige informatie, waardoor een hacker toegang krijgt tot systemen of databanken.

 

3. Onbedoelde verzending van persoonsgegevens

 

Een e-mail met vertrouwelijke informatie wordt per ongeluk naar de verkeerde ontvanger gestuurd. Dit komt vaak voor bij verkeerde invoer van e-mailadressen.

 

4. Hacking of cyberaanval

 

Kwaadaardige aanvallen op de IT-systemen van een organisatie, zoals ransomware-aanvallen of datadiefstal door hackers, waarbij persoonsgegevens worden gestolen of vernietigd.

 

5. Inbraak op een server

 

Een server waarin persoonsgegevens worden opgeslagen wordt gehackt, waardoor de gegevens toegankelijk zijn voor onbevoegden.

 

6. Papieren documenten kwijtraken

 

Fysieke documenten met gevoelige informatie, zoals contracten of kopieën van identiteitsbewijzen, worden gestolen, verloren, of op een onbeveiligde plek achtergelaten.

 

7. Toegang door onbevoegde medewerkers

 

Medewerkers die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens krijgen dit wel, bijvoorbeeld door een verkeerde instelling in de toegangsrechten van systemen.

 

8. Publicatie van persoonsgegevens op internet

 

Per ongeluk worden persoonsgegevens openbaar gemaakt, zoals een fout in een website die persoonlijke informatie zichtbaar maakt.

 

9. Verkeerd geconfigureerde systemen

 

Een IT-systeem, zoals een cloudopslagdienst, is niet goed beveiligd. Hierdoor kan iedereen zonder autorisatie toegang krijgen tot de gegevens.

 

10. Datalek bij een derde partij

 

Een leverancier of dienstverlener die namens uw organisatie persoonsgegevens verwerkt, krijgt te maken met een datalek. Bijvoorbeeld een payrollbedrijf dat per ongeluk gegevens van uw medewerkers openbaar maakt.

 

Tip: Heeft uw organisatie een van deze situaties meegemaakt? Neem direct contact op met de experts van Mr. Franklin. Wij helpen u de juiste stappen te zetten, zoals het beoordelen van risico’s, het melden van het datalek bij de Gegevensbeschermingsautoriteit (GBA), en het communiceren met betrokkenen.

ZIJN ER SANCTIES VOOR NIET MELDEN?

Ja, op de niet-naleving van de GDPR worden sancties gegeven, waaronder boetes die hoog kunnen oplopen. Meer over deze boetes vind je hier.

Opmerkelijk is dat ook net de melding van een datalek aanleiding kan geven tot een verder onderzoek binnen een onderneming door de GBA en dat dit onderzoek zich dan verder kan uitstrekken tot punten die geen betrekking hebben op het datalek. Recent nog werd een beslissing geveld door de GBA, waarbij een onderneming op die manier werd veroordeeld tot een boete van 50.000 euro.

Een boete is iets wat je als onderneming liever vermijdt. Raadpleeg daarom de experten van Mr. Franklin voor al jouw vragen en gespecialiseerd advies op maat.

rood vlak
icoon dokter

GEGEVENSLEK: WAT NU?


Een datalek kan ernstige gevolgen hebben voor uw organisatie, zoals financiële schade, reputatieverlies en boetes van de toezichthouder. Het is daarom essentieel om snel en adequaat te handelen. Bij Mister Franklin begrijpen wij het belang van een efficiënte aanpak en staan we klaar om u te ondersteunen bij elk aspect van het melden en beheren van een datalek.

WAT DOEN BIJ EEN GEGEVENSLEK?

wit vlak

Wanneer er zich een inbreuk in verband met persoonsgegevens (datalek) heeft voorgedaan, dient een onderneming actie te ondernemen en dit te melden. Dit is echter niet altijd verplicht.

Aan wie moet het datalek gemeld worden?

 

Een datalek dient zowel aan de bevoegde toezichthoudende autoriteit, dit is de Gegevensbeschermingsautoriteit (GBA), als aan de betrokken personen bij het datalek gemeld worden.

De Gegevensbeschermingsautoriteit moet door de gegevensverantwoordelijke binnen de onderneming op de hoogte gesteld worden van het datalek, en dit binnen de 72 uur. Hierop geldt een uitzondering, namelijk wanneer het niet waarschijnlijk is dat de inbreuk op de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokken individuen.

De melding van gegevenslekken bij de GBA gebeurt via een elektronisch formulier, dat beschikbaar is op de site van de GBA, via deze link. Dit formulier moet in één van de drie landstalen worden ingevuld en dient vervolgens via een webportaal te worden bezorgd.

Enkel indien de inbreuk een hoog risico uitmaakt voor de rechten en vrijheden van de betrokkene moet deze persoon persoonlijk van het datalek op de hoogte worden gebracht.

Risico-analyse

 

De GDPR veronderstelt dus dat bij elk incident een zekere afweging en risico-analyse wordt gemaakt om te bepalen of er een hoog risico is. Hier kunnen heel wat vragen rijzen: wat is immers een (voldoende) hoog risico?

Bevoegde autoriteit persoonsgegevens Nederland

 

In Nederland is de bevoegde toezichthoudende autoriteit de Autoriteit Persoonsgegevens (AP). Ondernemingen in Nederland die geconfronteerd worden met een datalek moeten dit binnen de 72 uur aan deze autoriteit melden.

DATALEK MELDEN:

Bij een gegevenslek is een snelle en doordachte reactie cruciaal. Volg deze stappen:
 

1. Identificeer het lek: Breng in kaart welke gegevens zijn getroffen en hoe het datalek heeft kunnen ontstaan.
 

2. Beoordeel de impact: Analyseer de risico’s voor de betrokkenen.

3. Registreer het merk in een intern incidentenregister
 

3. Meld het lek: Indien het risico groot is, moet u het lek binnen 72 uur melden bij de GBA.
 

4. Informeer de betrokkenen: Laat hen weten wat er is gebeurd en welke stappen ze kunnen ondernemen om zichzelf te beschermen.
 

5. Implementeer maatregelen: Zorg ervoor dat een dergelijk datalek in de toekomst wordt voorkomen.

Wanneer u het slachtoffer bent van een gegevenslek, kan Mr. Franklin je helpen om een inschatting te maken van hoe ernstig het datalek is aan de hand van een risico-analyse en evalueren of er al dan niet een melding moet gebeuren bij de Gegevensbeschermingsautoriteit. Indien een melding nodig is kunnen we de melding voor jou uitvoeren. Tevens kunnen wij je onderneming bijstaan in de communicatie naar klanten en/of de betrokkenen toe. Tot slot kunnen wij de oorzaken van het datalek helpen identificeren en kijken hoe je in de toekomst een soortgelijk veiligheidsincident kan voorkomen.

Wij kunnen u ook bijstaan in het uitvoeren van een GDPR audit of het opmaken van verplichte GDPR-documenten en procedures. Tevens worden wij regelmatig aangesteld als data protection officer (DPO) binnen een onderneming. Deze zorgt voor de GDPR-implementatie binnen jouw bedrijf. Een DPO is een onafhankelijk persoon en fungeert ook als contactpersoon met de bevoegde autoriteiten. Enkele zaken waarbij een DPO een rol kan spelen is het monitoren van het datalekregister, het beoordelen van mogelijke risico’s of het inlichten van de GBA bij een datalek.

Mr. Franklin telt drie gecertificeerde DPO’s die voor jou klaarstaan en jou kunnen helpen met het nakomen van de GDPR-verplichtingen. Lees meer over de service die een DPO voor jouw onderneming kan betekenen.

Door de jarenlange expertise van Mr. Franklin kunnen wij een antwoord bieden op al jouw vragen met betrekking tot datalekken en meer in het algemeen de GDPR. Aarzel dus niet om ons te contacteren.

HOE KAN MR. FRANKLIN JE BIJSTAAN?

VOLGENDE ORGANISATIES VERTROUWEN OP MR. FRANKLIN

bottom of page