Wat is nu eigenlijk een datalek?
Experts definiëren een datalek als een beveiligingsincident, waarbij persoonsgegevens in handen van onbevoegden zijn gekomen, voor onbevoegden toegankelijk waren, of zijn ‘verloren’. Bij een datalek is er sprake van onbedoeld delen, vernietiging, verlies of wijziging van persoonsgegevens. Daarbij maakt het niet uit naar hoeveel personen de gegevens zijn gelekt.
Kort gezegd zijn er 3 soorten datalekken. Hierbij zijn persoonsgegevens opzettelijk of per ongeluk:
- openbaar of toegankelijk gemaakt (inbreuk op vertrouwelijkheid);
- niet toegankelijk of vernietigd (inbreuk op beschikbaarheid);
- gewijzigd (inbreuk op integriteit).
We lichten deze soorten toe met enkele voorbeelden.
Post of e-mail
Een brief of e-mail bevat bijna altijd persoonsgegevens. Als een verkeerde ontvanger een e-mail of brief ontvangt en opent omdat hij denkt dat de inhoud voor hem is bestemd, is er sprake van een datalek. De persoonsgegevens zijn immers toegankelijk gemaakt voor iemand die daar geen toegang toe mocht hebben. Let op: als een brief naar de verkeerde ontvanger is gestuurd, maar ongeopend retour komt, dan is dat geen datalek!
Oud papier
Als persoonsgegevens leesbaar bij het oud papier belanden, is er sprake van een datalek. In dit geval zijn de persoonsgegevens namelijk openbaar toegankelijk gemaakt. Het is daarom erg belangrijk om altijd een (gecertificeerde) shredder te gebruiken of een vernietigingsbedrijf in te huren.
Verkeerde ontvanger
Als men persoonsgegevens deelt met de verkeerde ontvanger, of intern met een collega die geen inzage mocht hebben, dan is er ook sprake van een datalek. Denk daarbij aan het delen of kunnen inzien van personeelsdossiers.
Verkeerd recht op inzage
Voordat u persoonsgegevens deelt, moet u altijd nagaan of een persoon met wie u iets wilt delen, ook daadwerkelijk recht op inzage heeft. Het kan namelijk ook voorkomen dat iemand zich voordoet als iemand anders. Zo zou die persoon dan andermans persoonsgegevens kunnen wijzigen of misbruiken.
Apparaat kwijt of onherstelbaar defect
Verliest iemand een apparaat waarop hij werkt, of gaat dit apparaat onomkeerbaar kapot en zijn er geen back-ups van gegevens gemaakt? Ook dan is er sprake van een datalek. De gegevens zijn immers niet meer toegankelijk. Belanghebbende kunnen in dat geval dan bijvoorbeeld hun rechten met betrekking tot inzien, veranderen of verwijderen van hun persoonsgegevens niet meer uitoefenen.