FAQ

Terug naar overzicht
Privacyprofessional

De settings van een applicatie zijn verkeerd, heb ik nu een datalek?

Datalek

Toelichting

Zodra er iets mis lijkt te zijn rondom persoonsgegevens, zijn we al snel geneigd te denken dat er sprake is van een datalek. Maar dat is lang niet altijd het geval. Om goed antwoord te geven op de vraag of er een datalek is, moeten we het verschil tussen een datalek, incident en kwetsbaarheid kennen.
We zetten de definities op een rijtje:

  • Kwetsbaarheid:
    Een potentiële aantasting van de  beschikbaarheid, integriteit of vertrouwelijkheid (BIV) van gegevens. Je kunt zo'n aantasting die nog niet is opgetreden maar dat wel elk moment kan doen, ook als incident beschouwen.
  • Datalek:
    Er is ongeoorloofd of onbedoeld toegang tot persoonsgegevens geweest bij een organisatie, of persoonsgegevens zijn onbedoeld vernietigd, verloren gegaan, gewijzigd of tijdelijk niet beschikbaar.
  • (Security)incident:
    Alle incidenten die een ongeplande (potentiële) aantasting van de BIV van informatiesystemen tot gevolg kunnen hebben, maar die de levensvatbaarheid van de hele organisatie niet in gevaar brengt. Een aantasting die nog niet is opgetreden maar dat elk moment wel kan doen, wordt ook beschouwd als een incident.

Antwoord

Als je instellingen niet correct staan is er dus hoogstwaarschijnlijk geen sprake van een datalek. Dit valt onder ‘kwetsbaarheid’. En een kwetsbaarheid is geen datalek in de zin van artikel 4, lid 12 van de AVG.

Kwetsbaarheid versus datalek

Dat je de gevolgen 'niet kan uitsluiten', maakt een incident nog geen datalek. Alleen als je duidelijke aanwijzingen hebt dat de kwetsbaarheid ook echt gevolgen heeft voor de aantasting van beschikbaarheid, integriteit of vertrouwelijkheid (zie artikel 4, lid 12 AVG), dan is er sprake van een datalek. Als een datalek waarschijnlijk een risico oplevert voor 'de rechten en vrijheden van betrokkenen, meld je het datalek bij de Autoriteit Persoonsgegevens. Is er waarschijnlijk geen risico, dan kun je volstaan met het registreren van het datalek in je administratie.

Meldplicht

Let op, als er sprake is van een kwetsbaarheid waarbij je niet zeker weet of er een inbreuk is geweest (forensisch onderzoek geeft geen uitsluitsel), maar het is wel waarschijnlijk, dan kan de situatie toch onder de meldplicht vallen. Dat hangt af van de context.
Gaat het om een situatie met veel en/of gevoelige persoonsgegevens, overleg dan met de privacyspecialist van de organisatie en/of betrek de Functionaris voor Gegevensbescherming.

Gerelateerd