Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking van gegevens.
We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking - dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.
Voorbeelden datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Wel of niet melden datalek
Niet elk datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens (AP). Je moet een datalek melden aan de AP als het datalek een risico oplevert voor de rechten en vrijheden van de personen waarvan de gegevens zijn gelekt. Of als er een aanzienlijke kans bestaat dat dit gebeurt. Je moet het datalek daarnaast melden aan de betrokken personen (bijvoorbeeld, patiënten, cliënten, leden, vrijwilligers, medewerkers etc.) als het lek kan leiden tot fysieke, materiele of immateriële schade voor deze betrokkenen.
Guidelines meldplicht datalekken
De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd over het melden van datalekken. Deze guidelines,en dan met namen hoofdstuk IV, zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden bij de AP.
Handreiking datalekken voor in de zorg
De collega’s van LHV, InEen, KNMP, NHG en KNMG maakten een handreiking bedoeld om eerstelijns zorgverleners en zorgorganisaties te ondersteunen bij het omgaan met de meldplicht datalekken die op 1 januari 2016 is ingevoerd.