FAQ

Terug naar overzicht
Privacyprofessional

Er is iets mis met de instellingen van een applicatie, heb ik nu een datalek?

Privacyprofessional

Nee, waarschijnlijk niet. Een kwetsbaarheid is namelijk geen datalek in de zin van artikel 4, lid 12 van de AVG.

We zetten de definities op een rijtje:

  • Datalek
    Er is ongeoorloofd of onbedoeld toegang tot persoonsgegevens geweest bij een organisatie, of persoonsgegevens zijn onbedoeld vernietigd, verloren gegaan, gewijzigd of tijdelijk niet beschikbaar.
  • (Security)incident
    Alle incidenten die een ongeplande (potentiële) aantasting van de Beschikbaarheid, Integriteit of Vertrouwelijkheid (BIV) van informatiesystemen tot gevolg kunnen hebben, maar die de levensvatbaarheid van de hele organisatie niet in gevaar brengt. Een aantasting die nog niet is opgetreden maar dat elk moment wel kan doen, wordt ook beschouwd als een incident.
  • Kwetsbaarheid
    Een potentiële aantasting van de BIV van gegevens. Je kunt zo'n aantasting die nog niet is opgetreden maar dat wel elk moment kan doen, ook als incident beschouwen.

Kwetsbaarheid versus datalek

Dat je de gevolgen 'niet kan uitsluiten', maakt een incident nog geen datalek. Alleen als je duidelijke aanwijzingen hebt dat de kwetsbaarheid ook echt gevolgen heeft voor de aantasting van beschikbaarheid, integriteit of vertrouwelijkheid (zie artikel 4, lid 12 AVG), dan is er sprake van een datalek. Als een datalek waarschijnlijk een risico oplevert voor 'de rechten en vrijheden van betrokkenen, meld je het datalek bij de Autoriteit Persoonsgegevens. Is er waarschijnlijk geen risico, dan kun je volstaan met het registreren van het datalek in je administratie.

Let op, als er sprake is van een kwetsbaarheid waarbij je het niet zeker weet of er een inbreuk is geweest (forensisch onderzoek geeft geen uitsluitsel), maar het is wel waarschijnlijk, dan kan het soms zo zijn dat de siuatie toch onder de meldplicht valt. Dat hangt af van de context. Gaat het om een situatie met veel en/of gevoelige persoonsgegevens, overleg dan met de privacyspecialist van de organisatie en/of betrek de Functionaris voor Gegevensbescherming.