Klanten beoordelen ons met een
Brantjes Data-Vernietiging B.V. Rijnlanderweg 1427 2153 KE Nieuw-Vennep 023 - 532 1960

Brantjes

Datalek: wat is het en hoe maakt u melding

Geplaatst op door Pim Brouwer
Leestijd: 10 min

Een datalek is een inbreuk op de beveiliging van persoonsgegevens waarbij vertrouwelijke informatie onbedoeld openbaar wordt gemaakt, wordt gestolen of onrechtmatig wordt verwerkt. Intern kunnen menselijke fouten leiden tot datalekken, terwijl externe dreigingen variëren van kwaadwillende hackers en cyberaanvallen.

Weet u wat u moet doen bij een datalek in uw organisatie? Wie is er verantwoordelijk en welke stappen dient u te nemen bij het melden van een datalek? Dit artikel werpt een blik op datalekken: van definitie tot preventie en reactie.

meldplicht-datalekken-header
meldplicht-datalekken-header

Wat is een datalek?

Een datalek is een situatie waarin er sprake is van een inbreuk op de beveiliging van persoonsgegevens. Dit betekent dat persoonlijke informatie die normaal gesproken beschermd zou moeten zijn, blootgesteld is aan verlies, diefstal, onrechtmatige toegang, ongeoorloofde verwerking of andere vormen van misbruik.

Een datalek brengt vervelende gevolgen met zich mee zoals een verhoogd risico op identiteitsfraude, financiële fraude, oplichting, reputatieschade, chantage of eventuele doorverkoop van persoonsgegevens aan andere criminelen.

De meldplicht voor datalekken heeft als hoofddoel om een betere bescherming van persoonsgegevens te waarborgen.

Datalek door interne en externe factoren

Een datalek kan zowel het gevolg zijn van een externe inbreuk op de beveiliging door een cyberaanval of een interne factoren zoals een menselijke fout.

Voorbeelden van datalekken door interne factoren:

  • Verkeerd geadresseerde e-mailberichten.
  • Verlies van fysieke apparaten (laptop of telefoon) met persoonsgegevens.
  • Onjuiste gegevensverwerking.
  • Open papierbak met vertrouwelijk papier.
  • Inzage in een medisch dossier door een onbevoegde medewerker.

Voorbeelden van datalekken door externe factoren:

  • Hack waarbij er ingebroken wordt op de bedrijfssystemen
  • Malware waarbij schadelijk software wordt geïnstalleerd, zoals ransomeware of spyware
  • Phishing waarbij medewerkers, relaties of klanten worden misleid via e-mailberichten of brieven

De Autoriteit Persoonsgegevens (AP) identificeert drie belangrijke soorten cyberaanvallen: hacking, malware en phishing. In het jaar 2021 ontving de AP ruim 2.200 meldingen van datalekken als gevolg van dergelijke cyberaanvallen.

Soorten datalekken

voorbeelden-datadragers-digitale-data-persoonsgegevens

Er zijn drie soorten datalekken die onderscheiden kunnen worden volgens de Autoriteit Persoonsgegevens.

  1. Inbreuk op de vertrouwelijkheid: Dit type datalek treedt op wanneer persoonsgegevens openbaar zijn gemaakt of waarbij onbevoegden onrechtmatig toegang hebben gekregen tot persoonsgegevens. Dit kan opzettelijk zijn gebeurd door een onbevoegd persoon of per ongeluk als gevolg van zwakke beveiligingsmaatregelen.
  2. Inbreuk op de integriteit: Bij dit type datalek zijn persoonsgegevens gewijzigd door iemand die daar niet bevoegd toe is, of dit nu opzettelijk is gedaan of per ongeluk. Het wijzigen van gegevens kan ernstige gevolgen hebben, zoals het vervalsen van informatie of het creëren van misleidende documenten.
  3. Inbreuk op de beschikbaarheid: Deze vorm van datalek treedt op wanneer de organisatie niet langer toegang heeft tot de persoonsgegevens of wanneer de gegevens zijn vernietigd. Dit kan opzettelijk zijn gedaan door een externe factor of per ongeluk als gevolg van technische storingen of hardwareproblemen.

Het begrijpen van deze verschillende soorten datalekken is van cruciaal belang voor organisaties om gepaste acties, reacties en preventieve maatregelen te kunnen nemen.

Top 5 meest voorkomende datalekken (2022)

meest-voorkomende-incidenten-datalekken-2022

  1. Brief of postpakket met persoonsgegevens geopend retourontvangen, kwijtgeraakt of verstuurd of afgegeven aan de verkeerde ontvanger(s). (61%)
  2. E-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s) of verstuurd met ontvangers in het aan-veld of in de CC. (20%)
  3. Hacking, malware (bijv. ransomware) en/of phishing. (11%)
  4. Persoonsgegevens toegevoegd aan het verkeerde dossier. (4%)
  5. Apparaat, gegevensdrager (bijv. USB-stick) en/of papier met persoonsgegevens kwijtgeraakt of gestolen. (4%)

Datalek melden

datalek-wel-of-niet-melden-autoriteit-persoonsgegevens

Bij het ontdekken van een datalek is het essentieel om als verantwoordelijke snel en adequaat te handelen om de mogelijke gevolgen te beperken. De Autoriteit Persoonsgegevens stelt dat een datalek binnen 72 uur na ontdekking dient te worden gemeld. In de Algemene verordening gegevensbescherming (AVG) geldt dan ook een zogenoemde meldplicht datalekken.

Zorg ervoor dat medewerkers op de hoogte zijn van het werkproces bij datalekken en dat ze zich veilig genoeg voelen om een datalek te melden. Maak ook duidelijk wie het eerste aanspreekpunt is binnen uw organisatie bij een mogelijk datalek, zoals de dataprivacy officer. Spreek ook af wie wat doet binnen de organisatie bij de vervolgstappen om een datalek te beëindigen.

datalek-melden-bij-autoriteit-persoonsgegevens

Dit zijn in vogelvlucht de stappen die moeten worden genomen bij een datalek en hoe dit gemeld moet worden:

  • Overzicht: Verzamel informatie over het lek, zoals het type datalek, de ersnt van het lek het aantal gelekte persoonsgegevens en de oorzaak.
  • Stop en beperk: Neem onmiddellijk maatregelen om het datalek te stoppen en de mogelijke schade ervan te minimaliseren. Schat de risico’s in en voer indien nodig een digitaal forensisch onderzoek uit om de ernst en omvang van het lek vast te stellen.
  • Meld datalek aan bij de AP: Bepaal of het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens (AP). Als dat het geval is, meld het lek dan onmiddellijk. In de meeste gevallen moet dit binnen 72 uur na ontdekking gebeuren. Als een datalek moet worden gemeld aan de AP, kan dit worden gedaan via de specifieke meldingspagina van de Autoriteit Persoonsgegevens.
  • Informeer betrokkenen: Beslis of de betrokkenen moeten worden geïnformeerd over het datalek en doe dit dan zo snel mogelijk. De slachtoffers moeten rechtstreeks worden geïnformeerd via passende kanalen zoals een e-mailbericht, brief of via telefonsch contact. Kies een communicatievorm die aansluit bij uw doelgroep.
  • Registreer in datalekregister: Houd een interne registratie bij van het datalek in uw datalekregister. Dit is niet alleen een vereiste volgens de meldplicht, maar het toont ook aan dat uw organisatie zich houdt aan de juiste meldprocedures.

Nederland staat in de top drie van landen in Europa waar de meeste datalekken worden gemeld.
Autoriteit Persoonsgegevens

Door proactief te handelen en de juiste maatregelen te nemen, kan de impact van datalekken worden verminderd en de privacy van individuen worden beschermd.

De Autoriteit Persoonsgegevens heeft richtlijnen opgesteld welke stappen u moet ondernemen bij een datalek.

Boetes en sancties

De Autoriteit Persoonsgegevens heeft de bevoegdheid om boetes op te leggen aan organisaties die de privacywetgeving overtreden, met als doel naleving van de regelgeving te waarborgen.

De hoogte van deze boetes zijn onder andere afhankelijk van de ernst van de overtreding, de omvang van de schade voor betrokkenen, de mate van verantwoordelijkheid en nalatigheid en de genoemen maatregelen die door de verantwoordelijke zijn genoemen om inbruik te voorkomen. Hier zijn enkele belangrijke details over datalekboetes.

De maximale boete die opgelegd kan worden bij een datalek is 20 miljoen euro of 4% van de wereldwijde jaaromzet van een organisatie, afhankelijk van welke van de twee bedragen hoger is.

De Autoriteit Persoonsgegevens hanteert de Fining Guidelines van de European Data Protection Board (EDPB) bij het bepalen van de hoogte van boetes voor bedrijven.

Hoe een datalek voorkomen?

Een deugdelijke beveiliging van fysieke en digitale persoonsgegevens is belangrijk om het risico op een datalek zoveel mogelijk in te dammen.

Stel daarbij protocollen op die in werking treden wanneer een datalek binnen uw organisatie aan het licht komt.

Aandachtspunten

  1. Risicoanalyse: Start met een risicoanalyse om kwetsbaarheden in uw systemen te identificeren, zodat u weet waar uw organisatie het kwetsbaarst is voor datalekken.
  2. Aanstelling  van Data Protection Office (DPO) of een Privacy Officer (PO): Benoem een privacy officer binnen uw organisatie die fungeert als het aanspreekpunt voor alle zaken met betrekking tot gegevensbescherming en datalekken. Deze persoon zal verantwoordelijk zijn voor het coördineren van de reactie op datalekken en het communiceren met relevante partijen, waaronder de Autoriteit Persoonsgegevens (AP).
  3. Implementeer een datalekprotocol: Stel een duidelijk en gestructureerd datalekprotocol op dat in werking treedt bij een datalek. Zorg ervoor dat dit protocol alle noodzakelijke stappen omvat, van het identificeren van een datalek tot het melden ervan aan de AP en het informeren van betrokkenen.
  4. Beveiligingsmaatregelen: Implementeer technische en organisatorische maatregelen zoals firewalls, 2-factor authentication en encryptie.
  5. Fysieke datadragers: Behandel papieren documenten en digitale datadragers vertrouwelijk en vernietig deze gecertificeerd als de datadragers weggegooid dienen te worden.
  6. Verwerkersovereenkomsten: Maak duidelijke afspraken met interne en externe verwerkers en stel protocollen op voor datalekken.
  7. Beperkte toegang: Beperk medewerkers tot de gegevens die ze daadwerklijk nodig hebben voor hun taken.
  8. Bewustwording: Train medewerkers over beveiligiginsrisico’s zoals hacking, phishing en malware.
  9. Mobiele beveiliging: Beveilig mobiele apparaten met sterke wachtwoorden en versleuteling.
  10. E-mailbeveiliging: Gebruik “bcc” om e-mailadressen in groepsmailberichten te beschermen.

Vernietig datadragers bij een CA+ gecertificeerd bedrijf

telefoon-vernietigen-in-intimus-flashex-shredder
Smartphone (zonder accu) in intimus FlashEx

Voorkom het risico op een datalek bij het verwijderen en weggooien van vertrouwelijk materiaal, zoals archiefpapier, een harde schijf of een USB-stick.

Kies voor veilige en CA+ gecertificeerde afvoer en vernietiging van uw oude datadragers welke persoonsgegevens bevatten.

Een CA+ gecertificeerde vernietigingsaanpak betekent dat alle aangeboden materialen op een gecertificeerde en veilige manier worden vernietigd om hiermee datalekken te voorkomen.

Na datavernietiging ontvangt u als klant een officieel vernietigingscertificaat, dat dient als bewijs van fysieke vernietiging.

Brantjes Data-Vernietiging is een CA+ gecertificeerde partij in de Randstad. Wij kunnen uw vertrouwelijke gegevens op een veilige en gecertificeerde manier laten vernietigen en zo de veiligheid van uw informatie waarborgen.

Neem voor meer informatie contact op met een van onze specialisten.

Bronvermelding

Voor dit artikel hebben we gebruik gemaakt van onderstaande bronnen:

Algemeen
Archiefvernietiging
Datadragers
Datavernietiging
Hardware
Productvernietiging
Regelgeving
Vertrouwelijk papier

Gerelateerde artikelen

bewaarplicht-administratie-en-archief-header

Bewaarplicht van bedrijfsadministratie en zakelijke documenten

Leestijd: 5 min
ssd-voordelen-en-nadelen-header

SSD voordelen en nadelen

Leestijd: 4 min
oude-elektronica-verkopen-of-laten-vernietigen-header

Oude elektronica en apparaten inleveren of laten vernietigen?

Leestijd: 7 min

Gerelateerde services

archiefvernietiging

Archiefpapier & adminstratie

Eenmalig archiefpapier laten vernietigen.
Archiefvernietiging

Papier vernietigen & container huren

Regelmatig archiefpapier laten vernietigen.
harde-schijven

Harde schijven & SSD’s

Dataverwijdering van digitale bits en bytes.
computer-hardware

Computers & hardware

Afvoer en vernietigen van ICT-apparatuur.
datadragers

Datadragers & smartphones

Shredden van USB-sticks, telefoons en tapes.