Wat is een datalek?

Een datalek treedt technisch gezien op wanneer "ongeoorloofde of onbedoelde toegang tot persoonsgegevens plaatsvindt.” We spreken ook van een datalek als persoonsgegevens ongewenst vernietigd, kwijt, gewijzigd of verspreid worden. De personen in kwestie waar het datalek betrekking op heeft leiden dan namelijk schade. Dat kan bijvoorbeeld al optreden als een e-mail naar de verkeerde persoon wordt gestuurd.

Wat is een datalek concreet?

Een datalek wil dus eigenlijk zeggen dat data die in huis zou moeten blijven, op straat komt te liggen. Een datalek brengt een hoop ellende met zich mee. Ze zijn er ook in verschillende gradaties. Als Google, of Microsoft met een datalek te maken heeft, dan kan het gaan om miljoenen gegevens. Maar ook een mkb-bedrijf kan met een datalek te maken krijgen. Als iemand aan de haal kan gaan met klant- of andersoortige data uit jouw systemen, dan spreken we van een datalek. Sla je klantgegevens op voor een nieuwsbrief? Waar sla je dit op?

Voorbeeld van een datalek

Een datalek kan op verschillende manieren ontstaan. Een hack spreekt misschien het meest tot de verbeelding. Dit ondervond Allekabels.nl in 2021. De klantgegevens van miljoenen Nederlanders kwamen op deze manier op straat te liggen. Een andere klassieke datalek veroorzaker is de verkeerd geadresseerde mail. Een foutje is snel gemaakt en daar kwam een administratiekantoor ook achter. Tenslotte zijn er ook voorbeelden te over van bedrijven die met een datalek te maken kregen, doordat een laptop of usb-stick met data kwijt raakte.

Datalek melden

Je moet een datalek in sommige gevallen melden bij de Autoriteit Persoonsgegevens (AP) en de betrokken personen. De basisregel geldt dat je datalekken alleen moet melden als er identificeerbare individuele data van personen gelekt zijn en deze schade kunnen berokkenen. Bij schade kun je denken aan identiteitsfraude, discriminatie, maar ook financiële- en reputatieschade. Het is soms lastig te beoordelen of er inderdaad schade volgt uit het datalek. Het is daarom raadzaam om bij twijfel toch actie te ondernemen en het lek te melden. De reputatieschade die je bedrijf loopt is vele malen groter wanneer je betrapt wordt op doelbewust zwijgen over een datalek, dan het datalek op zich.

Sancties datalek

De Autoriteit Persoonsgegevens is bevoegd om sancties op te leggen aan bedrijven die de privacywet overtreden. Deze straffen kunnen zijn:

Boetes

Boetes kunnen oplopen tot €20 miljoen of 4% van de omzet. Afhankelijk van de ernst van de situatie bepaalt de AP hoe hoog de boete is. Deze sanctie wordt doorgaans opgelegd als onomstotelijk bewezen is dat het datalek voorkomen had kunnen worden.

Dwangsom

Een andere straf die de AP kan opleggen is de last onder dwangsom. Waar een boete vaak eenmalig is, kan last onder dwangsom over een langere periode financiële gevolgen hebben. De AP kan bijvoorbeeld stellen dat jouw bedrijf €1000,- per dag ten laste wordt gelegd voor iedere dag dat je gegevens vraagt en verwerkt bij het aanmelden voor de nieuwsbrief.

Verwerkingsverbod

Verder kan de AP een bedrijf een verwerkingsverbod opleggen, als zij daar aanleiding toe ziet. Dit zou bijvoorbeeld kunnen gebeuren wanneer een bedrijf stelselmatig de regels aan haar broek lapt.

Waarschuwing of berisping

Tenslotte kan de AP ook nog een berisping en een waarschuwing afgeven. Het verschil is dat een berisping wordt opgelegd voor een verwerking die al heeft plaatsgevonden. Een waarschuwing wordt vooraf door de AP afgegeven als het bedrijf naar inzicht van de AP een overtreding zal begaan.

Boetes door een datalek in Nederland

Verschillende Nederlandse bedrijven hebben al eens een boete gekregen naar aanleiding van een datalek. Enkele voorbeelden:

De Belastingdienst

Mooier konden ze het niet maken, wel makkelijker. Wat een geluk voor de Fiscus dat zij te maken hadden met integere belastingadviseurs. In augustus 2021 stuurde de Belastingdienst diverse brieven met hierin de naam en het BSN-nummer van mensen op naar de verkeerde belastingadviseurs.

Booking.com

Een klassiek gevalletje van 'misschien komen we ermee weg'. Toch bedacht Booking.com zich op tijd en meldde de datalek toch maar aan de AP. Op 7 februari meldde Booking.com zich bij de AP, terwijl zij al op 13 januari 2019 van de datalek wisten. Een dure gok, want het kosste Booking.com €475.000

Tips om een datalek te voorkomen

Er zijn verschillende zaken die bijdragen aan het voorkomen van een datalek. Het is daarom goed om een de volgende tips in acht te nemen bij het voorkomen van een datalek.

Denk als een crimineel
Check je website op mogelijke kwetsbaarheden
Voel je IT-er aan de tand
De AVG; hoe staat het ermee?
Wees strikt met wachtwoorden (of -zinnen!)
Doe de grote phishing test
Maak ongelukjes bespreekbaar
Stippel een noodplan uit → gecombineerd EHBH Cyberwacht en datalek melden Privacy Zeker

Heb je vragen over malware of een andersoortig cyber issue? Neem vrijblijvend contact met ons op voor advies.

Voornaam

Achternaam

E-mail

Organisatie

Telefoonnummer

Bericht

Schrijf me in voor jullie updates en tips.

Ik ga akkoord met de voorwaarden voor dienstverlening door Perfect Day, ik heb de privacyverklaring gelezen en ga akkoord met de verwerking van mijn persoonsgegevens zodat Perfect Day contact met mij kan opnemen.

Wat is een datalek?