De datalek definitie: wat is een datalek precies?

Wat is nu precies de datalek definitie? Datalek is hét modewoord van 2017 en 2018 en heeft alles te maken met de nieuwe privacywetgeving van de Algemene Verordening Gegevensbescherming (AVG). Diezelfde AVG verwoordt de datalek definitie zeer cryptisch als ‘inbreuk in verband met persoonsgegevens’.

Datalek definitie

Een vrije uitleg van de datalek definitie is:

een beveiligingsincident waarbij persoonsgegevens in handen van onbevoegden zijn gekomen, voor onbevoegden toegankelijk waren, of ‘zijn verloren’.

Of zoals juridisch uitgelegd wordt:

Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Beveiliging van persoonsgegevens

Er is volgens de datalek definitie geen sprake van een datalek als er geen persoonsgegevens bij betrokken zijn. We spreken dus niet van een datalek wanneer een prijslijst in de verkeerde handen valt door een beveiligingsincident, of als een lege USB stick kwijt raakt.

Is ieder beveiligingsincident per definitie een datalek?

Nee. Er dient sprake te zijn van een daadwerkelijk beveiligingsincident, waarbij de preventieve (beveiligings)maatregelen die u eventueel trof niet voldoende waren om dit te voorkomen. Wanneer er alleen sprake is van een dreiging of van een beveiligingslek die zou kunnen leiden tot een datalek, is er dus nog geen sprake van een datalek.

Vragen over een (mogelijke) datalek? Neem contact op met onze ICT advocaat.

Meldplicht datalek

Waarom is die datalek definitie nou zo belangrijk? Dat komt omdat een datalek binnen 72 uur moet worden gemeld bij de Autoriteit Persoonsgegevens. Het is dus van belang dat het binnen die periode duidelijk is of er inderdaad sprake is van een datalek. Wanneer het onwaarschijnlijk is dat er een risico is voor de betrokken personen, is er geen meldplicht.

Lees hier meer over de meldplicht datalekken.

Informeren betrokken personen

Moeten de betrokken personen ook worden geïnformeerd bij datalekken? Niet altijd! U hoeft de betrokkene bijvoorbeeld niet te informeren wanneer er passende technische en organisatorische beschermingsmaatregelen waren genomen. De gegevens waren bijvoorbeeld versleuteld. Of u kon achteraf maatregelen nemen waardoor de risico’s zijn weggenomen. U kon een zoekgeraakte laptop bijvoorbeeld op afstand wissen, of vaststellen dat een niet goed afgesloten deur niet door onbevoegden is betreden. Ook als het informeren van betrokken personen bijvoorbeeld onevenredig veel inspanning zou kosten, dan kunt u volstaan met een publicatie op uw website of in de krant.

Documentatie datalek

Tot slot is van belang dat een datalek goed gedocumenteerd wordt wanneer deze zijn voorgekomen in uw organisatie. In het overzicht dienen ook de feiten en gevolgen te worden beschreven. Het is eigenlijk een verslag van de datalekken. Voor uw bewijspositie is het ook zinvol om te beschrijven wat er is gedaan als correctie op het datalek.

Heeft u nog vragen over de datalek definitie of over de meldplicht datalek? Of wilt u meer weten over datalekken? Heijink & Meure advocaten is expert op het gebied van ICT recht en helpt u graag verder. Voor onze contactgegevens kunt u hier klikken.