Een van onze klanten heeft deze maand onbewust voor een datalek gezorgd. Op de website van onze klant staan foto’s van personen. Deze personen gaven toestemming voor het plaatsen van deze foto’s op de website. Je zou denken dat het dan prima geregeld is, en dat klopt. Maar daarna ging het mis. De klant heeft in de bestandsnaam van de foto’s, de naam van de personen die op de foto staan, opgenomen en deze vervolgens geüpload. En dat mag niet, want op deze manier zijn de persoonsgegevens van deze persoon openbaar toegankelijk. Onbewust veroorzaakte de klant hierdoor een datalek.
In dit blog vertellen we je meer over het ontstaan van een datalek, de impact op de organisatie en de meldplicht, zodat precies weet wat je moet doen, als te maken krijgt met een datalek.
Er is sprake van een datalek (privacy-lek), wanneer persoonsgegevens in handen komen van derden die geen toegang zouden mogen hebben tot deze gegevens. Ook bij het verliezen van persoonsgegevens (zonder back-up) is er sprake van een datalek. Om je een idee te geven van dit probleem: in 2018 werden er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens.
Een datalek is vaak het gevolg van een beveiligingsprobleem, maar gebeurt ook regelmatig onbewust. Je kunt denken aan een verloren laptop of telefoon, uitgelekte computerbestanden, cyberaanvallen, een e-mail verzonden aan een verkeerd adres of een geprinte en verloren klantenlijst.
De impact van een datalek op de organisatie kan heel groot zijn. Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Een datalek dat niet gemeld wordt, kan een boete opleveren van 2% van je jaaromzet.
In het geval van onze klant betekende dat: zo snel mogelijk ruim 200 foto’s vervangen door een nieuwe foto met een beschrijvende bestandsnaam (bijvoorbeeld ‘twee feestvierende mensen’ in plaats van ‘Jan en Piet vieren feest’). Daarmee was het lek gedicht. Bijkomend voordeel van je afbeelding een beschrijvende naam meegeven, is dat dit naast AVG-proof ook goed is voor je vindbaarheid en de gebruiksvriendelijkheid van je website. Daarnaast de klant melding maken bij de Autoriteit Persoonsgegevens en hij de getroffen personen informeren over het datalek.
Of je melding moet maken van het datalek, hangt af van de impact van het datalek op de betrokkenen. Voor ernstige datalekken geldt een meldplicht. In sommige gevallen moet je het datalek ook melden aan de betrokkenen, dus de mensen van wie de persoonsgegevens zijn gelekt. Thuiswinkel waarborg en ICTRecht ontwikkelden een handige beslisboom om er achter te komen of, en aan wie, je een melding moet maken.
Wat kunnen we hiervan leren? Een datalek voorkomen is beter dan genezen. Voorkom dat je door een datalek negatief in het nieuws komt en dat je boetes opgelegd krijgt.
En dat begint bij bewustwording. Wees je bewust van de persoonsgegevens die jij verwerkt binnen je organisatie. Schrijf eens op op welke plaatsen je persoonsgegevens opslaat, denk bijvoorbeeld aan:
Wil je dat we met je meedenken? Bel of mail ons gerust, we helpen je graag.
Deze artikelen vind je hier:
Op de website van de Autoriteit Persoonsgegevens lees je meer over de meldplicht bij datalekken.
