Is een beveiligingslek ook een datalek? En hoe zit het dan met een beveiligingsincident? Moet ik die melden? Er bestaat nogal wat begripsverwarring rondom datalekken. Tijd voor een helder verhaal mét toelichting op de verschillende definities.

In de dagelijkse praktijk krijgen we veel vragen over datalekken. Daarbij merken we dat er nogal wat verschillende termen door elkaar worden gebruikt. Vooral beveiligingslek, -incident en datalek worden door elkaar gebruikt, alsof ze voor één enkele uitleg vatbaar zijn.

Dat is zeker niet het geval.

De definities uitgelegd

Er zijn dus 3 begrippen die door elkaar worden gehaald. Hieronder per begrip een toelichting.

Beveiligingslek

Van een beveiligingslek is sprake wanneer er een zwakke plek (kwetsbaarheid) in de beveiliging is geconstateerd. Denk bijvoorbeeld aan een verouderde versie van antivirussoftware.

Er is dan sprake van een risico. Er hebben zich echter nog geen incidenten voorgedaan en er ligt geen data op straat.

Een beveiligingslek moet gedicht worden, maar kan zeker nog niet aangemerkt worden als datalek.

Beveiligingsincident

Een beveiligingslek kan resulteren in een beveiligingsincident. Dit gebeurt wanneer er door het lek incidenten of onregelmatigheden voordoen.

datalek_sm.jpg

Er is dan sprake van een inbreuk op de beveiliging.

Bijvoorbeeld bij een malware-besmetting. Toch hoeft dit nog niet te betekenen dat er een datalek optreedt. Als deze besmetting resulteert in het verloren gaan van de blauwdruk van het kantoorpand, dan heeft u nog niet te maken met een datalek.

Datalek

Heeft een beveiligingslek geleid tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking of toegang tot persoonsgegevens?

Dan is er sprake van een datalek.

Ook als je onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kunt uitsluiten, spreken we van een datalek.

Een beveiligingsincident kan dus een datalek zijn, maar alleen als er persoonsgegevens (mogelijk) onrechtmatig verwerkt of verloren zijn gegaan.

Meldplicht of niet?

De meldplicht datalekken geldt alleen voor datalekken en niet voor beveiligingslekken of beveiligingsincidenten.

Een datalek hoeft echter niet gemeld te worden als het niet waarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van natuurlijke personen.

Denk aan een versleutelde zakelijke smartphone die een medewerker verliest. Zolang er nog een kopie van de data op de telefoon bestaat en de encryptiesleutel enkel in het bezit is van de organisatie, is het risico voor betrokkenen erg klein.

In dat geval is een melding niet nodig.

Het mogelijke risico voor natuurlijke personen is het belangrijkste uitgangspunt in de beoordeling of u een datalek moet melden. Zo is het risico bij gevoelige persoonsgegevens als strafbare feiten of medische gegevens veel groter dan bij NAW-gegevens.

Ook is het afhankelijk wie de gegevens in handen heeft gekregen. Een verkeerd verzonden mailtje naar een gemeente is een stuk minder impactvol dan een gehackt bestand.

Al deze elementen neemt u mee in uw afweging om een datalek wel of niet te melden. Daarbij heeft de Autoriteit Persoonsgegevens (AP) de voorbeeldlijst wel/niet melden aan de AP en betrokken personen beschikbaar gesteld om u te helpen.

Overigens hoeft u betrokken personen alleen te informeren als er sprake is van een hoog risico.

Meer weten over datalekken?

Wilt u meer weten over het voorkomen of melden van datalekken? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646.

Ontvang onze mails in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.