Wat is een datalek?
In dit artikel lees je wat een datalek is. Wat er gebeurt als een datalek aan het licht komt? En wat is je eigen rol daarin? Bijvoorbeeld door jouw privacyrechten te gebruiken en het claimen van een schadevergoeding.
Voorbeeld
Je hoort dat er een datalek is ontdekt bij een organisatie waar je onlangs mee te maken had. Bijvoorbeeld een webwinkel, of een overheidsinstantie. Misschien heeft de organisatie al verteld dat jouw gegevens mogelijk bij het lek betrokken zijn. Je maakt je zorgen en vraagt je af: hoe zit dit en wat kan ik zelf doen?
Iedere inbreuk op de beveiliging van persoonsgegevens is een datalek
Het begrip ‘datalek’ is dus een zeer ruim begrip. Alle organisaties die persoonsgegevens verwerken, moeten genoeg technische en organisatorische voorzorgsmaatregelen nemen om die gegevens te beschermen. Dit is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Soms gaat het mis. We spreken van een datalek als er onbedoeld persoonsgegevens zijn vrijgegeven, of iemand daar onbedoeld toegang tot heeft gehad. Ook onbedoelde vernietiging, wijziging, of verlies van persoonsgegevens levert een datalek op.
‘Persoonsgegevens’ omvat meer dan alleen naam en adres
Het begrip 'persoonsgegeven' is een zeer breed begrip. Volgens de AVG zijn persoonsgegevens alle gegevens die direct over iemand gaan of naar een persoon te herleiden zijn. Maar niet alle persoonsgegevens zijn gelijk. Er wordt onderscheid gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens.
- Normale persoonsgegevens zijn gegevens die vaak al openbaar zijn en nodig zijn om jou te identificeren. Zoals naam, adres en woonplaats.
- Bijzondere persoonsgegevens zijn gevoelige gegevens die zien op jouw persoonlijke levenssfeer. Zoals ras, godsdienst of gezondheid. Deze laatste categorie gegevens heeft extra wettelijke bescherming.
Een datalek kan vervelende gevolgen hebben
Persoonsgegevens worden gebruikt om je te identificeren en kunnen voor dat doel dus ook misbruikt worden. Lang niet altijd eist een organisatie dat jij jezelf in persoon legitimeert met een identiteitsbewijs. Zeker niet nu alles steeds meer op afstand gebeurt. Daarmee bestaat dus het risico op identiteitsfraude. Als je daarvoor vreest is het van groot belang dat je snel en goed handelt. Wil je daar meer over weten? Lees dan ons artikel over identiteitsfraude.
Datalek melden bij de Autoriteit Persoonsgegevens
Een datalek kan vervelende gevolgen hebben. Daarom moeten organisaties datalekken altijd registreren in hun eigen datalekregister. Ernstige datalekken moeten zij daarna melden bij de Autoriteit Persoonsgegevens (AP). Een datalek is ernstig als het mogelijk fysieke, materiële of immateriële schade voor de betrokkenen met zich mee brengt.
De Autoriteit Persoonsgegevens houdt toezicht en controleert
Doet de organisatie bijvoorbeeld geen melding, terwijl dit wel zou moeten? Dan kan de AP een boete opleggen van maximaal €10.000.000,- of 2% van de wereldwijde omzet. Doet de organisatie wel een melding, dan controleert de AP of de procedures goed zijn gevolgd.
Datalek melden aan slachtoffers
Een datalek heeft een hoog risico als deze fysieke, materiële of immateriële schade voor de betrokkenen kan veroorzaken. In dat geval moet organisatie alle betrokkenen persoonlijk te informeren over het datalek. Of er sprake is van een hoog risico wordt per geval beoordeeld. Er wordt dan met name gekeken naar de combinatie van gegevens die bij het lek betrokken zijn. Denk bijvoorbeeld aan een situatie waarbij complete paspoortkopieën, creditcardgegevens of burgerservicenummers in combinatie met andere persoonsgegevens betrokken zijn. In zo’n geval spreken we van een datalek met een hoog risico. Meer informatie over het melden van datalekken aan slachtoffers vind je hier.
Privacyrechten die je kunt gebruiken
Zijn jouw persoonsgegevens gelekt, dan is daaraan – hoe vervelend ook – helaas niets meer te doen. Het lek kan immers niet meer worden teruggedraaid. Wel kun je gebruik maken van je privacyrechten. Zo heb je bijvoorbeeld recht op inzage in de persoonsgegevens die een organisatie van jou heeft. Of je kunt vragen om de vernietiging van jouw persoonsgegevens om verdere incidenten te voorkomen. Deze rechten heb je overigens ook als er geen sprake is van een datalek.
Schadevergoeding krijgen is erg moeilijk
Dat jouw privacy geschonden is, betekent niet automatisch dat je een schadevergoeding kunt krijgen. Meestal kan dit namelijk niet. Volgens het aansprakelijkheidsrecht moet je namelijk kunnen aantonen dat je schade lijdt. Daarbij moet jij aantonen dat er een oorzakelijk verband is tussen jouw schade en de fout van de tegenpartij. Dit is bij datalekken meestal erg moeilijk. Wat is immers jouw financiële schade? Dat jij je hier – overigens zeer begrijpelijk – zorgen om maakt, is geen financiële schade. En een risico op identiteitsfraude maakt nog niet dat je nú al schade lijdt. Lijd je dan toch schade? Dan is het moeilijk te bewijzen dat dit komt door dat ene datalek, en niet door iets anders.