Datalek melden

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kan er namelijk schade ontstaan.

Ondanks alle zorgvuldigheid en beveiliging kan het soms mis gaan. Onbevoegden hebben toegang tot uw gegevens of uw gegevens zijn verloren gegaan. In beide gevallen is sprake van een datalek. Als het lek grote risico’s voor u heeft melden wij het bij de Autoriteit Persoonsgegevens. Als het lek ernstige nadelige gevolgen voor u heeft dan informeren wij u ook.

Beveiligingsincident of datalek melden

Denkt u dat u een zwakke plek in een van onze (digitale) diensten hebt gevonden (beveiligingsincident)? Of heeft u vertrouwelijke informatie zoals bijvoorbeeld persoonsgegevens ontvangen die niet voor u zijn bestemd (datalek)? Wij werken graag met u samen om deze situatie zo snel mogelijk op te lossen. Daarom vragen wij u een melding te maken van deze incidenten. 

Datalek melden

Wat zijn persoonsgegevens? 

In de Algemene verordening gegevensbescherming (AVG) staat dat een persoonsgegeven ‘alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit houdt in dat deze informatie direct of indirect over iemand gaat of naar iemand is terug te leiden. Losse gegevens die samengevoegd kunnen leiden tot de identificatie van een bepaalde persoon vormen ook persoonsgegevens. Voorbeelden van persoonsgegevens zijn:

  • naam en achternaam
  • thuisadres
  • e‑mailadres zoals naam.achternaam@onderneming.nl
  • nummer van identiteitskaart
  • foto
  • locatiegegevens (bijvoorbeeld de locatiegegevens op een mobiele telefoon)
  • IP-adres
  • personeelsnummer
  • rekeningnummer.

Voorbeelden van datalekken zijn:

  • De verzending van een e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden terwijl de verzending BCC had gemoeten. 
  • Per ongeluk versturen van een e-mail of brief met persoonsgegevens naar de verkeerde ontvanger (Outlook vult e-mailadressen makkelijk aan) en er zijn personen met dezelfde voor- en of achternaam. 
  • Een medewerker verliest zijn tas met daarin alle fysieke stukken met persoonsgegevens. 
  • Een kwijtgeraakte of gestolen USB-stick, laptop of smartphone met daarop toegankelijke bestanden met persoonsgegevens van cliënten van bijvoorbeeld de Wmo of Jeugdzorg. 
  • Een geprinte lijst met persoonsgegevens die wordt verloren. 
  • Tijdens het per post verzenden worden per ongeluk 2 brieven met een zorgbeschikking (inclusief BSN) voor verschillende personen in dezelfde envelop gestopt. 
  • Een webapplicatie heeft grove beveiligingslekken waardoor de kans op misbruik van persoonsgegevens aannemelijk is.
  • Het versturen van een brief naar een foutief adres kan een datalek zijn als in de brief persoonsgegevens zijn vermeld.

Wat doen wij als een beveiligings- of datalek is ontdekt?

Bij het ontdekken van een beveiligings- of datalek nemen we alle mogelijke maatregelen om het lek te dichten en de schade te beperken. Bijvoorbeeld door een gestolen laptop op afstand te wissen. En we maken tegelijkertijd een inschatting van het (mogelijke) risico dat het datalek kan opleveren. Wanneer het datalek een hoog risico oplevert voor de rechten en vrijheden van de betrokken personen maken wij van het datalek een melding bij de Autoritiet Persoonsgegevens (AP). We informeren de betrokkenen over het incident en de mogelijke gevolgen hiervan en over de genomen maatregelen om deze situatie in de toekomst te voorkomen. Daarnaast registeren wij het datalek in ons interne verplichte datalekregister. Ook wanneer het datalek niet wordt gemeld aan de AP.