Datalekken begrijpen, herkennen en melden: 7 vragen en antwoorden
Michel van 't Klaphek

De NL Alert-app had er last van, één van de mogelijke corona-apps werd er vroegtijdig hard op afgerekend en ook het Donorregister moest eraan geloven: datalekken. Wat is een datalek eigenlijk? En hoe hoog is de boete? In dit artikel praten we je bij aan de hand van zeven vragen en antwoorden.

Lees verder na de advertentie.

Advertenties en adblockers

Je ziet deze tekst omdat je een adblocker gebruikt en onze advertenties blokkeert. Dat vinden we jammer, want die advertenties hebben we nodig om onze onafhankelijke artikelen gratis aan te bieden. Steun Android Planet door ons aan je whitelist toe te voegen. Alvast bedankt!

Gids: Alles wat je moet weten over een datalek

Je hebt er vast weleens van gehoord: datalekken. Het lijkt vooral bij bedrijven en organisaties te gebeuren die met persoonlijke gegevens van mensen in de weer zijn, zoals zorgverleners, banken en bij de overheid. Maar, het kan ook apps overkomen. Onlangs nog riep de Nederlandse overheid bijvoorbeeld op om de NL Alert-app tijdelijk te verwijderen omdat de applicatie ‘data lekt’. Wat houdt dit in? In deze gids praten we je bij.

Inhoudsopgave datalek

  1. Wat is het?
  2. Hoe zit de privacywet in elkaar?
  3. Wat zijn voorbeelden?
  4. Wie heeft er last van?
  5. Hoe hoog is de boete?
  6. Waar kan ik een datalek melden?
  7. Hoe kan ik het voorkomen?

1. Wat is een datalek?

Simpel gezegd spreken we van een datalek wanneer persoonsgegevens in verkeerde handen terechtkomen. Of in ieder geval: in onbedoelde handen. Ook is er sprake van een datalek wanneer persoonsgegevens verloren gaan zonder dat er een back-up is, of wanneer de informatie wordt gewijzigd. Ook wanneer zonder toestemming persoonsgegevens worden doorgestuurd spreken we van een datalek.

In tegenstelling tot wat sommige mensen denken, bestaat er niet zoiets als een datalek-wet. Deze term komt dan ook niet voor in officiële wetten. In plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG), een Europees geldende privacywet, het over “inbreuk in verband met persoonsgegevens.” De juridische definitie van een datalek is:

“Bij een datalek is sprake van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.”


2. Hoe zit de ‘privacywet’ in elkaar?

Deze privacywetgeving is opgebouwd uit verschillende onderdelen. Er zijn drie categorieën van datalekken te onderscheiden. Ten eerste kan er inbreuk op de vertrouwelijkheid van persoonsgegevens voorkomen. Hiervan is sprake wanneer onbedoelde personen of organisaties toegang krijgen tot vertrouwelijke gegevens. Ook kan er inbreuk op de integriteit voorkomen, bijvoorbeeld wanneer informatie zonder toestemming wordt aangepast.

Tot slot onderscheidt de AVG nog een derde categorie: beschikbaarheid. Hiermee bedoelen we dat een onbevoegd iemand (zoals een internetcrimineel) toegang krijgt tot persoonsgegevens (zoals een e-mailadres of IBAN), en deze informatie vervolgens kan wissen.

wat is een datalek

3. Wat zijn voorbeelden van datalekken?

Grofweg spreken we dus van een datalek wanneer onbedoeld iets met vertrouwelijke persoonsgegevens gebeurt. Dit klinkt wellicht als een ver-van-je-bed-show, maar de kans is groot dat je er al ervaring mee hebt. Heb je bijvoorbeeld weleens een mailtje met daarin persoonsgegevens (zoals een naam, geboortedatum of adres) naar het verkeerde e-mailadres gestuurd? Dan heb je een datalek op je naam staan.

Er zijn ook meer duidelijke voorbeelden van datalekken. Denk bijvoorbeeld aan het kwijtraken van een usb-stick/harde schijf met gevoelige informatie. Ook wanneer persoonsgegevens verloren gaan door middel van bijvoorbeeld brand of waterschade, kunnen we officieel spreken van een datalek. En is je bedrijf getroffen door een cyberaanval en heeft de crimineel klantgegevens gestolen? Ook dat is er eentje.

4. Wie heeft er last van datalekken?

Datalekken kunnen overal plaatsvinden: van kleine mailwisselingen tussen jou en collega’s tot aan miljardenbedrijven. Gemeentes komen er bijvoorbeeld regelmatig mee in het nieuws wanneer blijkt dat de website niet goed genoeg was beveiligd. Ook andere organisaties die veel met vertrouwelijke gegevens in de weer zijn – zoals een ziekenhuis – komen vaak in krantenkoppen voorbij. Ook een miljardenbedrijf als Facebook had eind 2019 (wederom) last van een datalek.

De meest recente voorbeelden vinden we echter bij de Nederlandse overheid. Onlangs nog adviseerde onze regering om de NL Alert-app tijdelijk te verwijderen vanwege een datalek en ook bij het Donorregister was het raak. In maart bleek dat twee onbeveiligde harde schijven met daarop de donorkeuzeformulieren van 6,9 miljoen Nederlanders waren verloren. Waar de schijven – inclusief complete namen, adresgegevens en zelfs handtekeningen – zich bevinden, is nog steeds niet bekend.

datalek donorregister

5. Hoe hoog is de boete op een datalek?

De Autoriteit Persoonsgegevens (AP) kan een boete uitschrijven na een datalek, al is dit niet verplicht. Bij het vaststellen van het bedrag houdt de AP twee soorten overtredingen aan, met bijbehorende maximale bedragen.

Indien een verantwoordelijke dataverwerker, zoals bijvoorbeeld een bedrijf of overheidsorganisatie, zijn verantwoordelijkheden niet na? Dan is de maximale datalek-boete tien miljoen euro, of hoogstens twee procent van de (wereldwijde) jaaromzet. Een dataverwerker is bijvoorbeeld verplicht om een logboek bij te houden van alle wijzigingen in de database van persoonsgegevens.

Overtreedt een verantwoordelijke de regels van de AVG? Of wordt de privacy van betrokken bedrijven, instanties en/of personen ernstig beschadigd? Dan kan de Autoriteit Persoonsgegevens een maximale datalek-boete van twintig miljoen euro uitschrijven, of maximaal vier procent van de (globale) jaaromzet.

Daarbij houdt de AP nog rekening met een paar factoren. Hoe ernstig is de overtreding bijvoorbeeld? En heeft de verantwoordelijke organisatie goed gehandeld, of was men juist laks? Ook het aantal betrokkenen en gedupeerden kan meespelen. Verder houdt de AP rekening met de grootte van het bedrijf of de instantie. Een kleine onderneming krijgt daardoor een minder hoge boete dan een multinational.

autoriteit persoonsgegevens datalek melden

6. Hoe kan ik een lek melden?

Een datalek moet binnen 72 uur na ontdekking gemeld worden bij de toezichthouder, de AP. Men heeft hier een speciaal Meldloket Datalekken voor in het leven geroepen. Via deze website kun je dag en nacht datalekken doorgeven, en bestaande meldingen aanpassen of intrekken. Heeft het datalek niet voor een risico van betrokken personen gezorgd? Dan hoef je het datalek niet per se te melden. Hiervoor kun je het best even overleggen met de AP zelf; zij kunnen je adviseren.

Verder is het belangrijk om zo snel mogelijk overzicht te creëren. Analyseer de situatie dus. Probeer daarnaast de geleden schade zoveel mogelijk te beperken. Wijzig wachtwoorden en probeer smartphones op afstand te wissen. Verder is het belangrijk om betrokkenen zo snel mogelijk te informeren, indien nodig.

Liggen er bijvoorbeeld gevoelige gegevens van jouw klanten of nieuwsbriefleden op straat? Dan is het verstandig hen een e-mail te sturen met wat er is gebeurd. Tot slot moet je het datalek ook registreren in je verplichte datalekregister.

→ Lees verder over het stappenplan op de website van AP

7. Hoe kan ik een datalek voorkomen?

De wereld van datalekken is complex, helemaal wanneer jij of jouw organisatie met een hoop gevoelige gegevens werkt. Het is daardoor onmogelijk om het risico op het uitlekken van informatie helemaal uit te sluiten, maar je kunt wel een paar simpele voorzorgsmaatregelen nemen om de kans te verkleinen.

Check bijvoorbeeld onze Android-beveiligingsgids voor een goede basis. In dit artikel staan we stil bij alle manieren waarop je je smartphone kunt beveiligen tegen zaken als malware, ransomware, virussen en andere narigheid. Check ook onderstaande artikelen voor meer beveiligingstips:

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.