Laatste blog berichten
Actueel
Unable to display the feed

Blog

<< Terug naar de nieuwspagina

Wat is een ernstig datalek?

Het aantal bij de Autoriteit Persoonsgegevens (AP) gemelde datalekken overstijgt de verwachtingen fors. Dit aantal is nu zo omvangrijk, dat de overbelaste AP voorzichtig begint te communiceren dat je alleen serieuze incidenten hoeft te melden. Het niet melden van ernstige datelekken kan echter nog steeds tot forse boetes leiden, waarmee de vraag ‘wat is dan ernstig?’ wel relevant blijft. Alle datalekken moeten sowieso intern worden vastgelegd in een incidentenregister. En juist als je besluit om een incident niet te hoeven melden, is het belangrijk om te motiveren waarom je dat niet doet. Deze formule ‘ernst = omvang x kans x impact’ kan hierbij een hulpmiddel zijn.

Stel, je bent een usb-stick kwijt. Het spreekt voor zich dat hoe meer persoonsgegevens erop staan van hoe meer mensen, des te erger het is. Maar de kans dat een derde ook daadwerkelijk aan de haal gaat met die gegevens, is ook belangrijk. Immers, als de gegevens op de usb-stick versleuteld waren, is de kans daarop weer kleiner. Tenslotte is de belangrijkste factor de mogelijke impact van de betrokken gegevens. E-mailadressen zijn over het algemeen veel minder gevoelig dan BSN-nummers. En oh wee als er kopietjes van paspoorten op de usb stonden. Overigens moet je de situatie in zijn geheel bekijken; sommige persoonsgegevens zijn in de ene situatie nu eenmaal gevoeliger dan in de andere. Een woonadres van een politicus kan zeer vertrouwelijk zijn, terwijl het lekken van het adres van de fietsenmaker (die boven zijn zaak woont) vermoedelijk wat minder problematisch is.

Ernst incident inschatten

Op basis van de factoren omvang, kans en impact probeer je een beeld te krijgen van de risico’s voor de betrokkenen – en daarmee de ernst van een incident. Is er nauwelijks of geen risico, dan schrijf je van je af waarom je niet meldt. Hierbij denk je er wel over na óf en hoe een herhaling van het incident kan worden voorkomen. Serieuze incidenten en risico’s moet je melden bij de AP. Bij een hoog risico meld je het incident ook bij de betrokkenen. De drempel voor melding bij de AP ligt dus lager dan melding bij de betrokkenen. Het kan zijn dat je wel meldt bij de AP en niet bij de betrokkenen, maar andersom kan formeel niet.