Hoe beoordeel ik de risico's van een datalek?

Antwoord

U moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP). Ténzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeert u alleen als er sprake is van een hoog risico.

Bij het inschatten van het risico kijkt u naar hoe waarschijnlijk het is dat een risico zich voordoet. En wat de impact is als het inderdaad gebeurt.

Objectief beoordelen risico’s datalek

Soms is het risico heel duidelijk. Bijvoorbeeld wanneer er volledige medische dossiers zijn gelekt. Maar vaker is het een inschatting. Ook dan moet u de situatie objectief beoordelen. Onderstaande factoren helpen om uw afweging objectief te maken:

De aard van de inbreuk
Zijn er persoonsgegevens gewist, gewijzigd of gelekt? Voorbeeld: het lekken van medische persoonsgegevens aan een onbevoegde, heeft andere gevolgen dan wanneer deze gegevens verloren zijn gegaan.

De aard, gevoeligheid en omvang van de persoonsgegevens
Hoe gevoeliger de gegevens, hoe groter het risico op schade. Houd ook rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Want juist een combinatie van gegevens kan de impact groter maken.

Gemak waarmee personen kunnen worden geïdentificeerd
Kun je op basis van het datalek eenvoudig zien om wie het gaat?

Ernst van gevolgen voor personen
De gevolgen van een datalek kunnen ernstig zijn. Vooral wanneer het datalek kan leiden tot bijvoorbeeld identiteitsdiefstal of reputatieschade. Het risico wordt kleiner wanneer de gegevens in handen zijn gekomen van een betrouwbare ontvanger die er niet op uit is om schade te veroorzaken.

Bijzondere kenmerken van de persoon
Wanneer gegevens van kwetsbare personen betrokken zijn bij het datalek, kunnen zij een groter risico op schade lopen. Bijvoorbeeld kinderen.

Bijzondere kenmerken van uw organisatie
Ter illustratie: de risico’s bij een datalek van een ziekenhuis zullen groter zijn dan bij een datalek met een mailinglijst van een krant.

Het aantal getroffen personen
Over het algemeen kan een datalek grotere gevolgen hebben naarmate er meer personen bij betrokken zijn. Een inbreuk kan echter zelfs voor één persoon ernstige gevolgen hebben.

Datum: 26 februari 2020
Bron: Autoriteit Persoonsgegevens