Datalek melden
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Voor een datalek is het niet van belang of er sprake is van kwade opzet.
In beginsel moet elk datalek na vaststelling binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld. Alleen die datalekken waarbij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen zijn uitgezonderd van de meldplicht.
Wanneer er is vastgesteld dat de inbreuk op de persoonsgegevens een hoog risico voor betrokkenen inhoudt dan moeten betrokkenen ook op de hoogte worden gesteld van het datalek.
De betrokkene hoeft niet geïnformeerd te worden wanneer:
- er passende technische en organisatorische beschermingsmaatregelen zijn genomen, bijvoorbeeld in de vorm van versleuteling van de gegevens;
- er achteraf maatregelen zijn genomen waarmee de vastgestelde risico’s voor betrokkenen zijn weggenomen;
- de mededeling aan betrokkenen onevenredig veel inspanning zou kosten. In dat geval volstaat een openbare mededeling.
Melden datalek
Meld een datalek meteen bij ICTS via de zelfservice of door te bellen naar 020-525 1402.
Buiten kantooruren: CERTUvA: cert@uva.nl, 020-525 3322.
Meld daarbij duidelijk waar het om gaat, hoe je het datalek hebt vastgesteld en informatie over de omvang van het lek.
Voorbeelden datalek
Een datalek kan verschillende vormen aannemen. Voorbeelden van datalekken zijn (dit is geen uitputtende lijst):
- Het versturen van een brief/e-mail met persoonsgegevens naar de verkeerde persoon;
- het kwijtraken van gegevensdragers/documenten met persoonsgegevens (NB ook wanneer deze beveiligd zijn met een wachtwoord);
- diefstal van gegevensdragers/documenten met persoonsgegevens;
- ongeautoriseerde toegang tot persoonsgegevens, bijvoorbeeld medewerkers die ongeautoriseerd persoonsgegevens van studenten inzien of kwaadwillende hackers die zichzelf toegang verschaffen;
- documenten/dossiers met persoonsgegevens die door onzorgvuldigheid kunnen worden ingezien.
Bron: Handleiding Algemene verordening gegevensbescherming, p.64. De laatste versie is te raadplegen via www.rijksoverheid.nl/avg.