Datalek door onoplettendheid
Datalek door onoplettendheid
Wanneer een document in de handen komt van een verkeerde ontvanger, is er sprake van een datalek.
In de drukte van deze tijd komt het wel eens voor dat een bericht per ongeluk naar de verkeerde ontvanger wordt gestuurd. Wanneer een document in de handen komt van een verkeerde ontvanger, is er sprake van een datalek. Check, check en dubbelcheck altijd of u de juiste ontvanger heeft ingevoerd. Maar wat doet u wanneer het kwaad al is geschied?
Wanneer een bericht naar een verkeerde ontvanger is verstuurd, is het verstandig om een risicobeoordeling te maken. Op die manier wordt duidelijk welke stappen er voor een juiste afwikkeling van het datalek ondernomen moeten worden. Het resultaat van die beoordeling bepaalt of het nodig is om het datalek aan de betrokkenen of aan de Autoriteit Persoonsgegevens te melden. Vraag uzelf af:
- Welke gegevens bevatte het bericht? Wanneer het bericht klantgegevens waaronder bijvoorbeeld het BSN-nummer van de klant bevat, is er sprake van een hoog risico.
- Hoeveel personen zijn er bij het datalek betrokken? In combinatie met de kwetsbaarheid van de gegevens, kan een groot aantal betrokken personen leiden tot een hoog risico.
- Leidt het datalek tot een risico waarbij de rechten en vrijheden van de betrokkenen worden geschaad? Denk dan zowel aan de mogelijke fysieke, als materiële en immateriële schade
- Is het mogelijk om verdere verspreiding in te perken? Kan de verkeerde ontvanger worden bereikt en worden gevraagd om het bericht te verwijderen en de informatie niet te gebruiken?
Los van het resultaat van de risicobeoordeling, is het altijd verstandig het datalek intern vast te leggen. Neem bij die interne documentatie ook de elementen die meewogen in de risicobeoordeling, het resultaat van de beoordeling en een gemotiveerde omschrijving van waarom u wel of niet besloot het datalek te melden mee.
Raadpleeg bij twijfel altijd een specialist.
In onze special over datalekken hebben we ook geschreven over:
👉 Datalek en vereerd bezorgde post.
👉 Gestolen apparatuur en datalekken
Basiscursus Datalekken
Een praktische training, waarin alle aspecten van een datalek worden behandeld: de wettelijke context en de gestelde eisen, de meldplicht, afhandelen, registratie, etc. Na het doorlopen van de training begrijp je hoe de AVG aankijkt tegen het voorkomen en behandelen van datalekken.
Lees ook:
DPIA en de rol van de Functionaris Gegevensbescherming: Alles wat je moet weten
Als bestuurder in de zorg wil je de risico’s op problemen met gegevensbescherming voorkomen. Toch ervaren wij dat het vaak mis gaat.
NIS2-richtlijn: Wat je moet weten
De Network and Information Security directive, beter bekend als de NIS2-richtlijn, is een vernieuwde versie van de NIS-richtlijn