autoriteitpersoonsgegevens.nl
Open in
urlscan Pro
159.46.196.183
Public Scan
URL:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken/
Submission: On June 14 via api from IE — Scanned from NL
Submission: On June 14 via api from IE — Scanned from NL
Form analysis 1 forms found in the DOM
GET /nl/zoekresultaten
<form class="search-box" action="/nl/zoekresultaten" method="get" id="views-exposed-form-search-panel-pane-1-2" accept-charset="UTF-8">
<div class="form-item form-type-select input-group form-item-sort-by">
<select style="display: none;" id="edit-sort-by" name="sort_by" class="form-select">
<option value="search_api_relevance_1" selected="selected">Sorteren op</option>
<option value="cbp_date_1">Datum oplopend</option>
<option value="cbp_date">Datum aflopend</option>
<option value="search_api_relevance">Relevantie</option>
</select>
</div>
<input type="hidden" name="cbp_date" value="">
<input type="hidden" name="cbp_date_1" value="">
<fieldset>
<legend>Doorzoek de gehele site</legend>
<div class="field-container" role="search"> <input class="text ctools-auto-submit-exclude auto_submit form-text form-autocomplete placeholder" title="Voer uw zoekterm in" placeholder="Doorzoek de gehele site" size=""
data-search-api-autocomplete-search="search_api_views_search" type="text" id="search_api_views_fulltext-2" name="search_api_views_fulltext" value="" maxlength="128" autocomplete="OFF" aria-autocomplete="list" role="combobox"><input
type="hidden" id="search_api_views_fulltext-2-autocomplete"
value="https://autoriteitpersoonsgegevens.nl/index.php?q=nl/search_api_autocomplete/search_api_views_search/body%3Asummary%20body%3Avalue%20field_display_title%20field_extra_search_terms%20field_intro%20field_linked_scald_atom%3Afield_case_number%20field_linked_scald_atom%3Afield_extra_search_terms%20field_linked_scald_atom%3Ascald_tags%3Adescription%20field_linked_scald_atom%3Ascald_tags%3Aname%20field_paragraphs%3Afield_paragraph_body%3Avalue%20field_paragraphs%3Afield_paragraph_title%20field_qa_themes%3Afield_qa_questions%3Afield_extra_search_terms%20field_qa_themes%3Afield_qa_questions%3Afield_qa_answer%3Afield_paragraph_body%3Avalue%20field_qa_themes%3Afield_qa_questions%3Afield_qa_answer%3Afield_paragraph_title%20field_qa_themes%3Afield_qa_questions%3Atitle%20field_qa_themes%3Atitle%20field_topics%3Atitle%20title%20search_api_views_fulltext"
disabled="disabled" class="autocomplete autocomplete-processed">
<input class="submit form-submit" type="submit" id="edit-submit" name="op" value="Zoeken"><span class="element-invisible" aria-live="assertive" id="search_api_views_fulltext-2-autocomplete-aria-live"></span>
</div>
</fieldset>
</form>Text Content
Naar hoofdnavigatiemenu Naar hoofdinhoud
* NL
* EN
Sorteren opDatum oplopendDatum aflopendRelevantie
Doorzoek de gehele site
Klacht melden
1. Beveiliging
* Beveiliging van persoonsgegevens
* Acties bij een datalek
* Meldplicht datalekken
2. Meldplicht datalekken
MELDPLICHT DATALEKKEN
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als
overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens
(AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook
melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
WAT IS EEN DATALEK?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen
van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van
deze organisatie.
DATALEK MELDEN
Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het
meldloket datalekken. In de privacyverklaring datalek melden staat hoe de AP
omgaat met de persoonsgegevens van degene die een datalek meldt.
OVERIGE ACTIES BIJ EEN DATALEK
Bij een datalek is het dus belangrijk om na te gaan of u verplicht bent om het
datalek te melden. Maar dat is niet het enige. Meer weten over wat u moet doen?
Zie het stappenplan 'Kom in actie bij een datalek' en dossier Acties bij
datalekken.
OVERZICHTEN MELDINGEN DATALEKKEN
De AP publiceert elk jaar een totaaloverzicht van alle gemelde datalekken. Zie:
Overzichten datalekken.
VRAGEN OVER DATALEKKEN?
* Heeft u een vraag over het melden van datalekken of over datalekken in het
algemeen? Kijk dan eerst bij veelgestelde vragen over de meldplicht
datalekken.
* Kunt u de informatie niet op onze website vinden? Dan kunt u bellen naar 088
- 1805 255. U betaalt uw gebruikelijke telefoonkosten. Let op: dit nummer is
alleen bedoeld voor organisaties die vragen hebben over de meldplicht
datalekken.
* Bent u een burger en heeft u een algemene vraag over een datalek of over de
AVG? Dan kunt u contact opnemen met het Informatie- en Meldpunt Privacy.
* Bent u een functionaris gegevensbescherming (FG)? En heeft u een vraag over
datalekken? Dan kunt u contact opnemen via onze onze speciale
FG-contactkanalen.
BEKIJK BINNEN HET ONDERWERP MELDPLICHT DATALEKKEN
* Nieuws over het subonderwerp Meldplicht datalekken
* Alle antwoorden op mijn vragen
* Publicaties over Meldplicht datalekken
* Hulpmiddelen
NIEUWS
* Persbericht / 24 mei 2022
Datalekken door cyberaanvallen bijna verdubbeld
* Persbericht / 12 november 2021
AP beboet Transavia om slechte beveiliging persoonsgegevens
* Nieuwsbericht / 17 september 2021
Meldformulier datalekken offline 17-20 september 2021
Alle nieuwsberichten over het onderwerp 'Meldplicht datalekken'
ALLE ANTWOORDEN OP MIJN VRAGENALGEMENE VRAGEN OVER DATALEKKEN EN DE MELDPLICHT
* Wat is een datalek precies?
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot
persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen
en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken
personen namelijk schade leiden.
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de
Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in
verband met persoonsgegevens’.
Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op
onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of
de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (artikel 4,
punt 12, AVG).
CATEGORIEËN DATALEKKEN
Er zijn 3 categorieën datalekken te onderscheiden:
* Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van,
of toegang tot, persoonsgegevens.
* Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van
persoonsgegevens.
* Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van
toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan, afhankelijk van de omstandigheden, in meer dan 1 van deze
3 categorieën vallen.
VOORBEELDEN DATALEKKEN
Voorbeelden van datalekken zijn:
* het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
* een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
* een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn
gemaakt.
KOM IN ACTIE BIJ EEN DATALEK
Is er bij uw organisatie sprake van een datalek? Kom dan snel in actie om
grotere problemen voor te zijn. Voor meer informatie, zie het stappenplan Kom
in actie bij een datalek.
* Wat betekent de meldplicht datalekken voor mij als organisatie?
Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of
onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een
melding te doen bij de Autoriteit Persoonsgegevens (AP).
Of u een datalek wel of niet bij de AP moet melden, hangt af van de
waarschijnlijkheid en de mogelijke ernst van het datalek voor de betrokken
personen.
U zult daarom een risico-inschatting moeten maken. Wanneer het datalek
waarschijnlijk een hoog risico oplevert, moet u ook de betrokkenen informeren
over het datalek.
OVERTREDING MELDPLICHT DATALEKKEN
Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete
geven. U kunt ook een boete krijgen als u ten onrechte een datalek met een
hoog risico verzwijgt voor de betrokkenen.
MELDPLICHT DATALEKKEN TELECOMMUNICATIEWET
Biedt u openbare elektronische communicatiediensten aan? Dan doet u uw
datalekmelding ook bij de AP.
U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken
waarmee u ook de overige datalekken meldt.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN VAN ORGANISATIES OVER HET WEL/NIET MOETEN
MELDEN VAN EEN DATALEK
* Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?
Nee. Of u een datalek moet melden, is afhankelijk van de (potentiële) impact
van het datalek op de bescherming van persoonsgegevens en de persoonlijke
levenssfeer van betrokkenen.
U hoeft een datalek niet te melden als het niet waarschijnlijk is dat het
datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.
GUIDELINES MELDPLICHT DATALEKKEN
De Guidelines meldplicht datalekken, en dan met name hoofdstuk IV, kunnen u
helpen te bepalen of u een datalek moet melden aan de Autoriteit
Persoonsgegevens.
REGISTREER WEL IN UW DATALEKREGISTER
Let op: ook wanneer u het datalek niet hoeft te melden aan de AP, dan moet u
het wel registreren in uw interne datalekregister.
* Moet ik alle datalekken melden aan betrokkenen?
Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen
te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten
en vrijheden oplevert. Kunt u aannemelijk maken dat dit niet zo is? Dan hoeft
u het datalek niet aan de betrokkenen te melden.
Let op: u moet het datalek mogelijk wél melden bij de Autoriteit
Persoonsgegevens. Als dat zo is, geeft u in uw melding aan dat u het datalek
niet heeft gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeldt
u welke redenen u heeft om de betrokkenen niet te informeren.
HOOG RISICO
Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen,
moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële
of immateriële schade voor de betrokkenen. Zoals: discriminatie,
(identiteits-)fraude, financiële schade en reputatieschade.
Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht
datalekken.
* Wanneer hoef ik een datalek níet te melden aan de AP en de betrokken
personen?
U hoeft niet alle datalekken te melden. De privacywet eist dat organisaties
een datalek melden bij de AP, ténzij het niet waarschijnlijk is dat het
datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’.
De betrokken personen informeert u alleen als er sprake is van een hoog
risico.
MELDEN AAN DE AP EN AAN DE BETROKKENEN NIET VERPLICHT
U hoeft het datalek niet te melden aan de AP of aan de betrokkenen in de
volgende gevallen.
1. Maatregelen vooraf
U heeft voordat het datalek plaatsvond passende maatregelen getroffen.
Hierdoor zijn de gelekte persoonsgegevens onbegrijpelijk voor onbevoegden.
Bijvoorbeeld doordat de gegevens goed zijn versleuteld of vervangen door een
hashwaarde.
Let op: deze uitzondering geldt alleen als:
* de gegevens nog volledig intact zijn.
* u nog steeds de volledige controle over de gegevens heeft.
* de sleutel die voor de encryptie of voor de hashing is gebruikt geen
gevaar heeft gelopen bij het datalek. En deze ook met de beschikbare
technologie niet vindbaar is voor onbevoegden
2. De onjuiste ontvanger is betrouwbaar
Zijn de persoonsgegevens verzonden aan een verkeerde maar betrouwbare
ontvanger? Dan betekent dit mogelijk dat het niet langer waarschijnlijk is
dat het datalek een risico oplevert. In dat geval hoeft u het datalek dus
niet te melden aan de AP of aan de getroffen personen.
MELDEN AAN DE BETROKKENEN NIET VERPLICHT
Wanneer u een datalek niet hoeft te melden aan de AP, hoeft u het ook niet te
melden aan de betrokken personen. Verder hoeft u het datalek ook niet aan de
betrokken personen te melden in de volgende gevallen:
1. Maatregelen achteraf
U heeft, onmiddellijk nadat het datalek plaatsvond, maatregelen getroffen.
Het hoge risico voor de rechten en vrijheden van betrokkenen zal zich
hierdoor waarschijnlijk niet meer voordoen. Bijvoorbeeld wanneer u de persoon
die toegang tot de persoonsgegevens heeft gehad onmiddellijk heeft
geïdentificeerd en dat u actie heeft ondernomen voordat die persoon iets met
de persoonsgegevens kon doen.
2. Uitzonderingen UAVG
Daarnaast noemt de Uitvoeringswet Algemene verordening gegevensbescherming
(UAVG) een aantal gevallen waarin u een melding aan betrokkenen achterwege
mag laten:
* Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te
waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming
van de privacy van anderen. Bijvoorbeeld wanneer kinderen een hulpvraag
hebben gedaan zonder dat hun ouders dat weten.
* Is uw organisatie een financiële onderneming als bedoeld in de Wet op het
financieel toezicht (Wft)? Dan geldt de meldplicht aan de betrokken
personen niet voor u. Wel geldt de meldplicht aan de AP.
INFORMEREN DOOR OPENBARE MEDEDELING
Zou het individueel informeren van de betrokkenen een onevenredige inspanning
vergen? Bijvoorbeeld omdat u de contactgegevens van de betrokkenen bent
verloren door het datalek?
Dan mag u de betrokkenen ook informeren met een openbare mededeling of een
soortgelijke maatregel, waarbij zij even doeltreffend worden geïnformeerd.
* Hoe beoordeel ik de risico's van een datalek?
U moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens
(AP). Ténzij het niet waarschijnlijk is dat er een risico is. De betrokken
personen informeert u alleen als er sprake is van een hoog risico.
Bij het inschatten van het risico kijkt u naar hoe waarschijnlijk het is dat
een risico zich voordoet. En wat de impact is als het inderdaad gebeurt.
OBJECTIEF BEOORDELEN RISICO’S DATALEK
Soms is het risico heel duidelijk. Bijvoorbeeld wanneer er volledige medische
dossiers zijn gelekt. Maar vaker is het een inschatting. Ook dan moet u de
situatie objectief beoordelen. Onderstaande factoren helpen om uw afweging
objectief te maken:
De aard van de inbreuk
Zijn er persoonsgegevens gewist, gewijzigd of gelekt? Voorbeeld: het lekken
van medische persoonsgegevens aan een onbevoegde, heeft andere gevolgen dan
wanneer deze gegevens verloren zijn gegaan.
De aard, gevoeligheid en omvang van de persoonsgegevens
Hoe gevoeliger de gegevens, hoe groter het risico op schade. Houd ook
rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Want juist
een combinatie van gegevens kan de impact groter maken.
Gemak waarmee personen kunnen worden geïdentificeerd
Kun je op basis van het datalek eenvoudig zien om wie het gaat?
Ernst van gevolgen voor personen
De gevolgen van een datalek kunnen ernstig zijn. Vooral wanneer het datalek
kan leiden tot bijvoorbeeld identiteitsdiefstal of reputatieschade. Het
risico wordt kleiner wanneer de gegevens in handen zijn gekomen van een
betrouwbare ontvanger die er niet op uit is om schade te veroorzaken.
Bijzondere kenmerken van de persoon
Wanneer gegevens van kwetsbare personen betrokken zijn bij het datalek,
kunnen zij een groter risico op schade lopen. Bijvoorbeeld kinderen.
Bijzondere kenmerken van uw organisatie
Ter illustratie: de risico’s bij een datalek van een ziekenhuis zullen groter
zijn dan bij een datalek met een mailinglijst van een krant.
Het aantal getroffen personen
Over het algemeen kan een datalek grotere gevolgen hebben naarmate er meer
personen bij betrokken zijn. Een inbreuk kan echter zelfs voor één persoon
ernstige gevolgen hebben.
HULPMIDDEL: VOORBEELDLIJST WEL/NIET MELDEN
Het is uw eigen verantwoordelijkheid om het risico van een datalek in te
schatten. Dat kan de AP zonder onderzoek niet voor u doen.
Wel bieden wij praktische informatie om u te helpen zelf een goede afweging
te maken. Zoals de voorbeeldlijst wel/niet melden aan de AP en betrokken
personen.
ZIE OOK
* Wanneer levert een datalek een hoog risico op?
* Wanneer hoef ik een datalek níet te melden aan de AP en de betrokken
personen?
* AP-stappenplan: ‘Kom in actie bij een datalek’
* Privacy-video ‘Wat moet ik doen bij een datalek?’
* Wanneer levert een datalek een hoog risico op?
Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot
lichamelijke, materiële of immateriële schade voor de betrokken personen. In
deze gevallen moet u ervan uit gaan dat u het datalek moet melden aan de
Autoriteit Persoonsgegevens (AP) en aan de betrokkenen. Tenzij er sprake is
van een uitzondering op de meldplicht.
Fysieke schade
Bijvoorbeeld wanneer cruciale medische gegevens zijn gewist waardoor er een
risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt. Of bij
doorbreking van het beroepsgeheim.
Materiële schade
Bijvoorbeeld wanneer de kans bestaat dat iemand online bestellingen kan
plaatsen op kosten van een ander. Of andere vormen van financieel verlies of
identiteitsdiefstal of -fraude.
Immateriële schade
Zoals kans op discriminatie, reputatieschade of inbreuk op iemands
persoonlijke levenssfeer.
VOORBEELDEN HOOG RISICO
Van een hoog risico is sprake als een datalek kan leiden tot:
* Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof
of seksuele geaardheid.
* Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete
paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
* Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens
waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op
kosten van een ander.
* Reputatieschade: bijvoorbeeld bij een datalek met gegevens over
problematische schulden, verslaving of prestaties op het werk.
* Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische
gegevens.
Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:
* Het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens.
* Een aanzienlijk economisch of maatschappelijk nadeel.
* Een situatie waarbij de betrokken personen hun rechten en vrijheden niet
kunnen uitoefenen. Of geen controle over hun persoonsgegevens kunnen
uitoefenen.
Andere voorbeelden van datalekken met een hoog risico:
* Datalek met bijzondere persoonsgegevens.
* Datalek met strafrechtelijke persoonsgegevens.
* Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op
te stellen of te gebruiken. Met name als het gaat om profiling op basis
van informatie over beroepsprestaties, economische situatie, gezondheid,
persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
* Datalek met persoonsgegevens van kwetsbare groepen. Zoals gehandicapten,
mensen die ziek zijn, kinderen en bejaarden.
* Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor
een hele grote groep mensen.
HULPMIDDEL: VOORBEELDLIJST WEL/NIET MELDEN
Los van deze situaties kan er ook in andere gevallen een hoog risico zijn.
En/of kunt u verplicht zijn het datalek te melden aan de Autoriteit
Persoonsgegevens. Het is uw verantwoordelijkheid als organisatie om dat in te
schatten. Om u hierbij te helpen hebben wij een voorbeeldlijst opgesteld.
ZIE OOK
* AP-stappenplan: ‘Kom in actie bij een datalek’
* Privacy-video: ‘Wat moet ik doen bij een datalek’
* Ik heb persoonsgegevens gelekt aan een betrouwbare partij. Moet ik dit melden
aan de AP en de betrokken personen?
Heeft u persoonsgegevens gelekt aan een verkeerde ontvanger? Maar gaat het om
een ‘betrouwbare ontvanger’? Dan kan dit betekenen dat het onwaarschijnlijk
is dat het datalek een risico oplevert voor de betrokken personen. U hoeft
het datalek dan niet te melden aan de Autoriteit Persoonsgegevens (AP) en de
betrokken personen.
WAT IS BETROUWBAAR?
‘Betrouwbaar’ houdt in dat u er redelijk zeker van kunt zijn dat de onjuiste
ontvanger geen kwaad in de zin heeft. Dus dat hij verder niets doet met de
per ongeluk ontvangen gegevens. En dat hij zich houdt aan uw eventuele
instructies. Bijvoorbeeld om de persoonsgegevens terug te sturen of te
vernietigen.
VOORBEELDEN VAN BETROUWBARE ONTVANGERS
Voorbeelden van betrouwbare ontvangers kunnen zijn:
* partijen met wie u een zakelijke relatie heeft. Bijvoorbeeld een vaste
leverancier;
* partijen die een wettelijk beroepsgeheim hebben. Zoals een huisarts of
andere zorgverlener.
MEEWEGEN IN HET BEOORDELEN VAN DE RISICO’S
Is de verkeerde ontvanger een betrouwbare partij? Dan kunt u dit meewegen in
het beoordelen van de risico’s van het datalek. Wanneer de ontvanger kan
worden vertrouwd, kan dit namelijk de risico’s van het datalek wegnemen. U
hoeft het datalek dan niet te melden aan de AP of de betrokken personen.
Twijfelt u of u het datalek moet melden? Dan kunt het beste het zekere voor
het onzekere nemen en het datalek wél melden.
WEL REGISTREREN IN DATALEKREGISTER
Registreer een datalek wel altijd in uw datalekkenregister. Ook wanneer u het
datalek niet hoeft te melden aan de AP en de betrokken personen.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN OVER DE MELDING BIJ DE AP
* Hoe snel moet ik een datalek melden aan de AP?
U moet een datalek binnen 72 uur na ontdekking van het lek melden aan de
Autoriteit Persoonsgegevens (AP). Wanneer u dat niet doet bent u
waarschijnlijk in overtreding.
Wanneer u te laat bent moet u dit motiveren. Alleen in uitzonderlijke
gevallen accepteert de AP een vertraagde melding na 72 uur.
Ter illustratie: een vakantie, ziekte, drukte of ‘het was weekend’ is geen
geldig excuus om te laat te melden. Ook de motivatie ‘de FG is te laat
geïnformeerd over datalek’ is geen geldig excuus. Het is namelijk uw
verantwoordelijkheid om ervoor te zorgen dat uw medewerkers incidenten op
tijd melden bij de juiste persoon binnen uw organisatie.
VERVOLGMELDING
Gaat het om een complexe inbreuk, zoals digitale hacks of phishing? En heeft
u nog niet alle informatie? Dan moet u de eerste melding nog steeds binnen 72
uur doen. Bij nieuwe informatie kunt u dan een vervolgmelding doen.
GRENSOVERSCHRIJDENDE DATALEKKEN
Let op: bij grensoverschrijdende datalekken is het meestal aan te raden om
het datalek te melden aan de toezichthouder in de Europese lidstaat waar uw
hoofdkantoor gevestigd.
* Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?
U kunt een datalek melden via het meldloket datalekken.
* Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?
De Autoriteit Persoonsgegevens (AP) kijkt zorgvuldig naar alle ontvangen
meldingen van datalekken. Gelet op het grote aantal meldingen dat wij
jaarlijks ontvangen, kunnen wij niet alle meldingen even uitgebreid
onderzoeken.
Meestal krijgt u geen reactie. Tenzij we inhoudelijke vragen hebben over uw
melding. Dan nemen we binnen 2 weken contact met u op.
ACTIES NAAR AANLEIDING VAN EEN DATALEK
Afhankelijk van de situatie kunnen wij besluiten om het volgende te doen na
melding van een datalek:
* u verplichten om de betrokken personen te informeren wanneer u dat
onterecht niet heeft gedaan;
* een kortlopend onderzoek starten bij een mogelijke overtreding van de
meldplicht. Bijvoorbeeld wanneer u een datalek niet heeft gemeld. Of te
laat heeft gemeld.
* een inlichtingenverzoek doen. Bijvoorbeeld om het rapport van uw onderzoek
naar het datalek op te vragen;
* u bellen voor meer informatie over het datalek;
* u bellen om u extra uitleg en advies te geven;
* u een brief sturen met extra uitleg over de normen en hoe te handelen bij
datalekken;
* de melding sluiten. Wanneer uit uw melding blijkt dat u de meldplicht goed
heeft nageleefd en voldoende maatregelen zijn genomen om nieuwe inbreuken
te voorkomen.
ONDERZOEK AP
Uw datalekmelding kan, eventueel in combinatie met andere meldingen, ook
aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van
de privacywetgeving.
AP-REGISTER MET ALLE DATALEKKEN
De AP slaat uw melding op in een register met alle ontvangen meldingen over
datalekken. Dit register is niet openbaar.
* Kan ik een datalek melden bij de FG van mijn organisatie?
Nee, u kunt een datalek niet melden bij de functionaris gegevensbescherming
(FG). U moet het datalek melden bij de Autoriteit Persoonsgegevens.
Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek.
De FG kan u bijvoorbeeld adviseren bij het informeren van de betrokkenen.
* Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een
datalek heb gemeld?
Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens (AP)
inhoudelijke vragen heeft over uw melding. Dan neemt de AP binnen 1-2 twee
weken na ontvangst van uw melding contact met u op.
INFORMEREN BETROKKENEN
Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat
volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te
doen.
De wet zegt dat u de betrokkenen direct moet informeren. De AP neemt in dit
geval daarom zo snel mogelijk contact met u op.
* Maakt de Autoriteit Persoonsgegevens gemelde datalekken openbaar?
Nee, dat doet de Autoriteit Persoonsgegevens (AP) niet. Het is namelijk
belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over
gelekte persoonsgegevens vertrouwelijk blijven.
* De AP kan wel op basis van de meldingen in jaarverslagen of andere
publicaties aandacht besteden aan datalekken.
* Verder kan een datalekmelding relevant zijn voor een onderzoek dat de AP
doet. Het kan dan nodig zijn om informatie uit de melding op te nemen in
het onderzoeksrapport.
* Tot slot kan de AP, als dat nodig is, informatie uit de ontvangen
datalekmeldingen delen met andere toezichthouders waarmee het een
samenwerkingsovereenkomst heeft.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN OVER DE MELDING AAN BETROKKENEN
* Welke informatie moet ik de betrokken personen geven bij een datalek?
Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo
snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen
begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij
kunnen doen om zichzelf te beschermen.
U moet daarom ten minste antwoord geven op de volgende vragen:
WAT IS ER GEBEURD?
Geef onder meer antwoord op de volgende vragen:
* Zijn de gegevens in handen gekomen van een onbevoegde? Of zijn de
persoonsgegevens tijdelijk of permanent ontoegankelijk of verloren
geraakt?
* Waren de persoonsgegevens onjuist of onvolledig? Of een combinatie?
* Om welke gegevens ging het? Wat is er met deze gegevens gebeurd?
WAT ZIJN DE WAARSCHIJNLIJKE GEVOLGEN?
Geef onder meer antwoord op de volgende vragen:
* Is alleen de privacy geschonden van de betrokken persoon? Of is er ook
sprake van (een hoog risico op) lichamelijke of materiële (financiële)
schade?
* Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een
hacker? Zo ja, is er een (hoog) risico dat de betrokken persoon als gevolg
van het datalek phishing mails ontvangt? Of het slachtoffer wordt van
(identiteits)fraude?
* Zijn de persoonsgegevens inmiddels teruggestuurd of vernietigd door de
partij die de gegevens onterecht heeft ontvangen?
WELKE MAATREGELEN STELT U VOOR OF HEEFT U AL GETROFFEN?
Inclusief eventuele maatregelen om de risico’s te verkleinen of de nadelige
gevolgen te beperken. Hierbij moet u ook vermelden of u externe partijen om
advies heeft gevraagd. En zo ja, wat dat advies inhoudt.
KAN DE GETROFFEN PERSOON ZELF IETS DOEN?
Bijvoorbeeld om het risico op identiteitsfraude te verkleinen.
WAAR TERECHT MET VRAGEN?
Geef de naam en contactgegevens van de functionaris gegevensbescherming (FG),
als uw organisatie die heeft. Of van iemand uit uw organisatie waar de
getroffen personen terechtkunnen voor meer informatie. Bijvoorbeeld de
directeur of een privacycontactpersoon.
* Wat kan ik bij een datalek adviseren over het voorkomen van
identiteitsfraude?
Er zijn datalekken die kunnen leiden tot identiteitsfraude. Informeert u de
betrokkenen over zo’n datalek, dan geeft u aan dat zij alert moeten zijn op
identiteitsfraude. U kunt de betrokkenen daarbij verwijzen naar:
• informatie van de politie over identiteitsfraude;
• informatie van de Rijksoverheid over identiteitsfraude.
Deze pagina’s geven informatie over hoe betrokkenen identiteitsfraude kunnen
herkennen en wat zij kunnen doen.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN OVER WIE EEN DATALEK MOET MELDEN
* Wie in een samenwerkingsverband moet een datalek melden bij de Autoriteit
Persoonsgegevens?
De algemene regel is dat de verwerkingsverantwoordelijke een datalek moet
melden. Werkt u in een samenwerkingsverband? Dan kan er sprake zijn van
gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek
meldt aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen.
AFSPRAKEN MELDPLICHT DATALEKKEN
Bij het maken van afspraken over het melden van datalekken kunt u aansluiten
bij de bestaande afspraken die u, los van de meldplicht datalekken, heeft
gemaakt over de naleving van de Algemene verordening gegevensbescherming
(AVG).
Welke samenwerkingspartner zorgt er bijvoorbeeld voor dat betrokkenen hun
rechten kunnen uitoefenen, zoals het recht op inzage en rectificatie?
Ook is het van belang dat u bekijkt hoe de gezamenlijke gegevenshuishouding
eruitziet. Waar kunnen eventueel datalekken optreden, welke
samenwerkingspartners moeten dat weten en hoe zorgt u dat ze tijdig op de
hoogte worden gesteld? Maak ook hier afspraken over.
* Moet de verwerkingsverantwoordelijke of de verwerker een datalek melden?
Maakt u als verwerkingsverantwoordelijke gebruik van een dienst van een
andere organisatie? En is die organisatie een verwerker? Dan moet u de
melding doen als er een datalek is. Tenzij u expliciet afspraken maakt met de
verwerker - bijvoorbeeld in de verwerkersovereenkomst - dat die namens u
datalekken meldt aan de Autoriteit Persoonsgegevens (AP).
Let op: onder de Algemene verordening gegevensbescherming (AVG) is de
verwerker verplicht om de verwerkingsverantwoordelijke zonder onredelijke
vertraging te informeren zodra de verwerker weet heeft van een datalek.
Bent u als verwerkingsverantwoordelijke verplicht om het datalek aan de
betrokkenen te melden? Dan kunt u niet afspreken dat de verwerker dit namens
u doet. U moet in die gevallen altijd zelf de betrokkenen informeren.
ZIE OOK
* Hoe meld ik als verwerker een datalek namens een of meerdere
verwerkingsverantwoordelijken?
* Hoe meld ik als verwerker een datalek namens een of meerdere
verwerkingsverantwoordelijken?
Als verwerker kunt u met uw opdrachtgever(s) - de
verwerkingsverantwoordelijke(n) - hebben afgesproken dat u datalekken meldt
bij de Autoriteit Persoonsgegevens (AP). Hier leest u welke regels daarvoor
gelden.
NAMENS ÉÉN VERWERKINGSVERANTWOORDELIJKE
Meldt u als verwerker een datalek namens één verwerkingsverantwoordelijke?
Let dan hierop:
* U meldt het datalek op naam van de verwerkingsverantwoordelijke.
* U geeft onder '1.2 Betrokkenheid andere organisatie' de naam van uw
organisatie op. Geef ook aan dat u schriftelijk gemachtigd bent om namens
de verwerkingsverantwoordelijke de melding te doen.
* De gegevens van de melder zijn die van een medewerker van uw organisatie.
* De contactpersoon in de melding is een medewerker van de
verwerkingsverantwoordelijke.
NAMENS MEERDERE VERWERKINGSVERANTWOORDELIJKEN
Meldt u als verwerker een datalek namens
meerdere verwerkingsverantwoordelijken? Let dan hierop:
* U doet namens elke verwerkingsverantwoordelijke een aparte datalekmelding
bij de AP.
* U doet elke datalekmelding op naam van de betreffende
verwerkingsverantwoordelijke.
* U geeft onder '1.2 Betrokkenheid andere organisatie' de naam van uw
organisatie op.
Geef ook aan dat u schriftelijk gemachtigd bent om namens de
verwerkingsverantwoordelijke de melding te doen.
Geef tot slot aan voor hoeveel andere verwerkingsverantwoordelijken het
gemelde datalek geldt, bijvoorbeeld met een volgnummer.
* De gegevens van de melder zijn die van een medewerker van uw organisatie.
* De contactpersoon in de melding is een medewerker van de
verwerkingsverantwoordelijke.
ALLE ANTWOORDEN OP MIJN VRAGENPRAKTISCHE VRAGEN OVER HET MELDFORMULIER
DATALEKKEN
* Hoe laat ik mijn melding bij de AP zo goed mogelijk verlopen?
Om uw melding van een datalek aan de Autoriteit Persoonsgegevens (AP) via het
meldloket datalekken zo goed mogelijk te laten verlopen, zijn er de volgende
tips.
MODERNE BROWSER GEBRUIKEN
Gebruik bij het invullen van het meldformulier een moderne browserversie.
ONTVANGSTBEVESTIGING PRINTEN
Is het versturen van de melding goed verlopen, dan krijgt u op uw scherm
meteen een ontvangstbevestiging te zien. In de ontvangstbevestiging staan de
gegevens die u heeft ingevoerd met daarbij een meldingsnummer.
U kunt de melding niet online raadplegen. Maak daarom meteen een print voor
uw eigen administratie voordat u het browservenster afsluit.
MELDINGSNUMMER GEBRUIKEN
De melding is bekend bij de AP onder het meldingsnummer dat in de
ontvangstbevestiging staat.
U heeft het meldingsnummer nodig om de melding te kunnen aanpassen of
intrekken. Let op: vul daarbij het meldingsnummer exact in zoals het op de
ontvangstbevestiging staat. Neem alle tekens over en zet geen spaties tussen
de tekens.
Vermeld het meldingsnummer bij eventuele correspondentie over uw melding met
de AP.
* Wat wordt bedoeld met 'gegevensrecords' in het meldformulier?
In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel
gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een
gegevensrecord is een vastlegging van informatie over een bepaald persoon.
Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.
Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term
'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een
regel in een Excel-bestand. Eén regel in de lijst is dan één gegevensrecord.
VOORBEELDEN VAN GEGEVENSRECORDS
Aankoop bij een webwinkel
Een aankoop bij een webwinkel is één gegevensrecord. Dit gegevensrecord kan
onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van
bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de
aankoop.
Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan
legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een
webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben.
Kopie paspoort
Een kopie van een paspoort is één gegevensrecord. Daarop staan naast naam en
geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
Gebruik van logfiles
Gebruikt een ziekenhuis logfiles om vast te leggen wie wanneer inzage heeft
gehad in een medisch dossier? Dan is elke log één gegevensrecord.
En gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product
heeft toegevoegd aan een winkelmandje? Dan is elke logregel één
gegevensrecord.
* Wat moet ik doen als ik op versturen heb geklikt maar geen
ontvangstbevestiging en meldingsnummer zie?
Het kan zijn dat u niet alle gegevens (goed) heeft ingevuld en dat daardoor
het versturen niet is gelukt. Het kan ook gebeuren dat uw melding door een
technisch probleem niet is verwerkt.
NIET GOED INGEVULD
Heeft u nog niet alle gegevens correct ingevuld, dan lukt het niet om de
melding te versturen.
U lost dit op door de ontbrekende gegevens aan te vullen en de onjuiste
gegevens te corrigeren. In het meldformulier ziet u foutmeldingen bij de
gegevens waar het om gaat.
TECHNISCH PROBLEEM
Ziet u na het versturen van het formulier een foutmelding of een leeg
formulier? Dan is uw melding door een technisch probleem niet verwerkt. U
moet dan de melding opnieuw invullen en versturen.
* Kan ik mijn melding van een datalek aanvullen of intrekken?
Ja, u kunt de melding die u gedaan heeft aanvullen of intrekken. Dit doet u
via het meldloket datalekken. U heeft daarbij uw meldingsnummer nodig.
Let op: vul het meldingsnummer exact in zoals het op de ontvangstbevestiging
van uw melding staat. Neem alle tekens over en zet geen spaties tussen de
tekens.
* Waarom moet ik bij het aanvullen of intrekken van een datalekmelding de
gegevens opnieuw invullen?
Uw melding van een datalek wordt verstuurd naar een beveiligde, afgesloten
omgeving. U kunt de gegevens daarna niet meer inzien of aanpassen via het
meldloket. Dit is zo ingericht om ongeoorloofde toegang tot datalekmeldingen
te voorkomen.
Dit betekent dat u bij het aanvullen of intrekken van een datalekmelding de
verplichte gegevens in het formulier nogmaals moet invullen.
Bij velden met vrije tekst, zoals de samenvatting van het incident, kunt u
verwijzen naar de oorspronkelijke melding. U hoeft dan niet de volledige
tekst opnieuw in te vullen.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN VAN SLACHTOFFERS VAN DATALEKKEN
* Ik vermoed dat er een datalek is geweest, kan ik dit melden bij de AP?
Heeft u het vermoeden dat er een datalek is geweest bij een bepaalde
organisatie? Dan kunt u dit aan de Autoriteit Persoonsgegevens (AP)
doorgeven. Maar eerst is het belangrijk dat u het mogelijke datalek doorgeeft
aan de organisatie zelf.
U meldt het datalek vervolgens bij de AP door het Meldingsformulier klachten
in te vullen. Geef daarbij duidelijk aan:
* om welke gegevens het gaat;
* bij welke organisatie het datalek heeft plaatsgevonden;
* wanneer het datalek volgens u is geweest;
* wanneer u het datalek heeft doorgegeven aan de organisatie.
VRAGEN AAN AP
Let op: u kunt via het meldingsformulier géén vragen stellen aan de AP. Heeft
u een vraag, dan kunt u bellen met de AP tijdens het telefonisch spreekuur
voor privacyvragen.
* Wat doet de AP met mijn tip over een datalek?
Geeft u de Autoriteit Persoonsgegevens (AP) een tip over een mogelijk
datalek? Dan beoordeelt de AP of het om een datalek gaat dat de organisatie
die het datalek heeft (gehad) moet melden bij de AP.
Zo ja, dan controleert de AP of de organisatie het datalek al heeft gemeld.
Zo nee, dan kan de AP contact opnemen met de organisatie.
Het is daarom belangrijk dat u zo concreet mogelijke informatie geeft als u
de AP een tip geeft over een datalek.
ONDERZOEK
Uw tip kan, eventueel in combinatie met tips van andere personen, ook
aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van
de privacywetgeving.
GEEN INFORMATIE OVER MELDING
Let op: de AP kan u niet zeggen of een datalek bij de AP gemeld is. Deze
informatie is namelijk niet openbaar.
DATALEK MELDEN
Niet ieder datalek hoeft gemeld te worden bij de AP. Dit hoeft alleen als het
datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van
de betrokkenen.
* Kan ik slachtoffer worden van identiteitsfraude als mijn gegevens zijn
gelekt?
Na een datalek kunt u risico lopen op identiteitsfraude, maar dit hoeft niet
altijd. Bij identiteitsfraude maken criminelen misbruik van uw gegevens.
Bijvoorbeeld door op uw naam spullen te kopen zonder te betalen.
Niet alle datalekken maken identiteitsfraude mogelijk. Met losse gegevens
(bijvoorbeeld alleen een BSN) kan een fraudeur niet veel.
Het gaat om de combinatie van gegevens. Daarom is het bijvoorbeeld wél een
risico als een kopie van uw identiteitsbewijs is gelekt.
VOORKOMEN OF SCHADE HERSTELLEN
In de brochure Geef oplichters geen kans: Een veilig ID van het ministerie
van Binnenlandse Zaken en Koninkrijksrelaties vindt u informatie over
identiteitsfraude. En over wat u kunt doen om identiteitsfraude te voorkomen
en eventuele schade te herstellen.
SLACHTOFFER VAN IDENTITEITSFRAUDE
Bent u slachtoffer geworden van identiteitsfraude? Meld dit dan bij het
Centraal Meldpunt Identiteitsfraude en -fouten (CMI).
Dit doet u door het meldingsformulier identiteitsfraude in te vullen. Het CMI
helpt u om de gevolgen van identiteitsfraude op te lossen.
Doe daarnaast aangifte bij de politie van identiteitsfraude.
MEER INFORMATIE IDENTITEITSFRAUDE
* Informatie over identiteitsfraude op Politie.nl.
* Informatie over identiteitsfraude op Rijksoverheid.nl.
* Heb ik recht op schadevergoeding als mijn gegevens zijn gelekt?
Zijn uw gegevens gelekt door een datalek? En heeft u hierdoor schade geleden?
Dan heeft u mogelijk recht op een schadevergoeding, maar dit is zeker niet
altijd zo.
VOORWAARDEN SCHADEVERGOEDING
U heeft volgens artikel 82 van de Algemene verordening gegevensbescherming
(AVG) recht op schadevergoeding als u schade lijdt doordat een organisatie in
strijd met de AVG handelt en dit deze organisatie kan worden aangerekend.
Een organisatie is niet aansprakelijk als de organisatie bewijst op geen
enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit.
Dat er een datalek heeft plaatsgevonden, betekent niet automatisch dat de
organisatie waar het lek is geweest in strijd met de AVG heeft gehandeld.
Niet ieder datalek is verwijtbaar.
SOORTEN SCHADE
Zowel financiële schade als immateriële schade komen voor vergoeding in
aanmerking. Wat immateriële schade precies is, staat niet concreet in de wet.
U kunt bijvoorbeeld immateriële schade lijden als u in uw eer bent aangetast
of als uw goede naam is geschaad.
SCHADEVERGOEDING VRAGEN
Een civiele rechter beoordeelt een vordering om schadevergoeding. De
Autoriteit Persoonsgegevens (AP) speelt hierin geen rol. De AP kan u ook geen
informatie of advies geven over het bepalen van de schade en over de hoogte
van de schadevergoeding.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN VAN ORGANISATIES OVER DATALEKKEN DOOR
RANSOMWARE
* Wat is ransomware?
Ransomware is malware (kwaadaardige software) die een computer of bestanden
gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via
prepaidkaarten of Bitcoin.
Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of
via advertenties op internet die een lek in niet-geüpdatete software
misbruiken.
Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde
schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.
* Is er na besmetting met ransomware sprake van een datalek?
Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is
dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om
deze te kunnen versleutelen.
De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de
inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De
besmetting kan het hele systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er
meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De
gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
* Wat kan ik doen nadat er een aanval met ransomware is vastgesteld?
U kunt de omvang van de inbreuk achteraf (laten) onderzoeken. Een van de
meest gangbare manieren hiervoor is digitaal forensisch onderzoek.
ONDERZOEK NIET VERPLICHT
U bent vanuit de meldplicht datalekken niet verplicht zo'n (digitaal
forensisch) onderzoek te (laten) doen. Het is aan u om te besluiten of u de
omvang van de inbreuk wilt (laten) onderzoeken of niet.
Zonder onderzoek zal de onzekerheid over de omvang van de besmetting echter
blijven bestaan. Dit betekent dat u niet redelijkerwijs kunt uitsluiten dat
persoonsgegevens door een derde zijn ingezien, gekopieerd, gestolen of
veranderd.
ANDERE MANIEREN DAN ONDERZOEK
Andere manieren dan onderzoek (laten) doen zijn ook mogelijk. U kunt
bijvoorbeeld functionaliteiten van de malware (laten) analyseren als
achterhaald kan worden met welke malware de inbreuk is gepleegd.
Logging en controle op de logging kunnen ook helpen bij het bepalen van de
omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat
alle manieren worden gelogd waarop gegevens benaderd kunnen worden.
* Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar
besmette bestand of deel van het systeem?
Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde
bestanden raken. Er kan dus toegang zijn verkregen tot veel meer
persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het
eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of
gemanipuleerd.
Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek
(laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde
toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.
Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in
gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.
* Kunnen bestanden zijn versleuteld zonder eerst geopend te zijn?
Nee. Voordat bestanden kunnen worden versleuteld, moeten ze eerst worden
geopend. Pas daarna kan de ransomware de gegevens versleutelen en vervolgens
de versleutelde inhoud opslaan.
Als u de bestanden versleuteld aantreft, is het dus zeker dat een derde
toegang heeft gehad tot deze bestanden en deze heeft geopend. En dat betekent
ook dat deze derde de gegevens in die bestanden heeft kunnen inzien en
kopiëren.
* Is de inbreuk beëindigd als ik de bestanden heb teruggezet uit de backups en
de ransomware is verwijderd?
Nee. Als u niet heeft onderzocht wat de omvang van de inbreuk is geweest,
kunt u niet aannemen dat de inbreuk beperkt is gebleven tot het versleutelen
van de betreffende bestanden.
Bij inbreuken waarbij ransomware is aangetroffen, is de controle over het
systeem in ieder geval gedeeltelijk verloren gegaan.
U moet er rekening mee houden dat een derde toegang heeft gehad tot het hele
systeem en alle gekoppelde bestanden en systemen.
Dat betekent dat u ervan uit moet gaan dat alle gegevens in het systeem en
ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de
inbreuk. Daarmee kan het datalek groter zijn dan het op het eerste gezicht
lijkt.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN OVER HET MELDEN VAN EEN DATALEK DOOR
RANSOMWARE
* Moet ik een datalek als gevolg van ransomware melden bij de Autoriteit
Persoonsgegevens?
Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden
dezelfde criteria voor het melden van het datalek als voor datalekken met een
andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit
Persoonsgegevens moet melden als het datalek waarschijnlijk een risico
oplevert voor de rechten en vrijheden van de betrokkenen.
U kunt er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven
tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele
systeem en alle gekoppelde bestanden raken.
Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er
meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De
gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.
* Moet ik een datalek als gevolg van ransomware melden aan de betrokkenen?
U moet de betrokkenen informeren als het datalek door ransomware
waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de
betrokkenen.
* Moet ik het datalek melden aan de betrokkenen als de gegevens onbegrijpelijk
of ontoegankelijk zijn voor onbevoegden?
Heeft u door encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk
of ontoegankelijk gemaakt voor onbevoegden? Dan kunt u de melding aan de
betrokkenen eventueel achterwege laten.
Dit is een strenge norm, die u van geval tot geval moet toepassen op basis
van de actuele stand van de techniek. Bovendien geldt deze uitzondering
alleen maar als:
* de gegevens nog volledig intact zijn;
* u nog steeds de volledige controle over de gegevens heeft;
* de sleutel die voor de encryptie of voor de hashing is gebruikt bij de
inbreuk geen gevaar heeft gelopen en voor onbevoegden met de beschikbare
technologische middelen niet te vinden is.
WEL MELDEN
Twijfelt u over de adequaatheid van de technische beschermingsmaatregelen die
u heeft getroffen? Dan moet u het datalek melden aan de betrokkenen.
Zijn de gegevens door de ransomware niet meer toegankelijk voor u en voor de
betrokkenen? En is er geen back-up voorhanden? Dan moet u dit mogelijk wél
aan de betrokkenen melden.
In dat geval is namelijk sprake van verlies van persoonsgegevens. Ook als u
de gegevens had geëncrypt.
CRITERIA MELDEN DATALEK AAN BETROKKENEN
U moet de betrokkenen informeren als het datalek door ransomware
waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de
betrokkenen.
Hiervoor moet u onder andere kijken of het datalek kan leiden tot fysieke,
materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie,
(identiteits-)fraude, financiële schade en reputatieschade.
Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht
datalekken.
ALLE ANTWOORDEN OP MIJN VRAGENVRAGEN OVER RISICO'S VERKLEINEN BIJ MALWARE EN
RANSOMWARE
* Wat kan ik doen om het risico op een datalek door malware te verkleinen?
Belangrijke maatregelen waarmee u het risico op een datalek door malware
(bijvoorbeeld door ransomware) verkleint, zijn onder meer:
* op tijd software-updates installeren;
* geen verouderde (netwerk)protocollen gebruiken;
* computernetwerken en -systemen segmenteren (scheiden).
PRAKTISCHE HULP BIJ TECHNISCHE MAATREGELEN
Meer praktische informatie over technische maatregelen vindt u in deze
documenten:
* Brochure AIVD en MIVD: Bent u zich bewust van de risico's van
cyberspionage?
* Factsheets op de website van het Nationaal Cyber Security Centrum (NCSC),
waaronder: 10 vuistregels voor veilig internetten.
MELDEN BIJ DE AP
Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens
getroffen zijn? Dan hoeft u alleen niet te melden als het niet waarschijnlijk
is dat de besmetting leidt tot een risico voor de rechten en vrijheden van
betrokkenen.
Bij dit onderzoek moet u onder andere kijken naar de kans dat de malware zich
verspreidt via uw computernetwerk. Blijkt uit uw onderzoek dat er
waarschijnlijk een risico is voor de rechten en vrijheden van betrokkenen?
Dan moet u de besmetting met malware als datalek melden bij de AP.
MELDEN AAN BETROKKENEN
Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens
getroffen zijn? Dan moet u onderzoeken of de inbreuk waarschijnlijk leidt tot
een hoog risico voor de rechten en vrijheden van de betrokkenen.
U kunt daarvoor technisch onderzoek (laten) uitvoeren, zoals analyse
van logbestanden. Blijkt uit dit onderzoek dat het niet waarschijnlijk is dat
de inbreuk leidt tot een hoog risico voor de rechten en vrijheden van de
betrokkenen? Dan hoeft u hen niet te informeren.
* Wat kan ik doen om de omvang van een eventuele (toekomstige) inbreuk te
beperken?
U kunt de omvang van een inbreuk beperken door gegevens offline te bewaren en
door netwerksegmentatie toe te passen.
Bij netwerksegmentatie (het scheiden van interne netwerken) kan een inbreuk
beperkt worden gehouden tot het direct getroffen netwerk.
Het is van belang om de toegang tot gegevens goed bij te houden (loggen) en
te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en
kunt u snel actie ondernemen.
HULPMIDDELEN VOOR PROFESSIONALS
* DownloadenPDFStappenplan: 'Kom in actie bij een datalek'Downloaden
* DownloadenPDFVoorbeeldlijst: Wel/niet melden datalekDownloaden
* DownloadenPDF10 tips voor datalekregistratieDownloaden
* DownloadenPDFGuidelines meldplicht datalekkenDownloaden
PRIVACYVERHALEN
GERRIT (72) WERD SLACHTOFFER VAN EEN DATALEK ÉN EEN AUTO-INBRAAK. TOEVAL?
BIJ ONNO’S ADMINISTRATIEKANTOOR ONTSTOND EEN DATALEK DOOR EEN VERKEERD
GEADRESSEERDE MAIL
Meer privacyverhalen
PRAKTISCHE HULPMIDDELEN
Stappenplan 'Kom in actie bij een datalek'
Voorbeeldlijst wel/niet melden datalek
10 tips voor datalekregistratie
Guidelines meldplicht datalekken
PUBLICATIES
* 25 mei 2022
DownloadenPDFJaarrapportage meldplicht datalekken 2021Downloaden
* Rapport / 12 november 2021
DownloadenPDFBoete TransaviaDownloaden
Al het onderzoek over het onderwerp 'Meldplicht datalekken'Alle
wetgevingsadviezen over het onderwerp 'Meldplicht datalekken'
* Home
* Over privacy
* Waarom is privacy belangrijk?
* Jouw privacy (voor jongeren)
* Privacyverhalen
* Privacyblogs
* Techblog
* Persoonsgegevens
* Wetten
* Het werk van de Autoriteit Persoonsgegevens
* Onderwerpen
* Corona
* AVG voor het mkb
* Algemene informatie AVG
* Beveiliging
* Financiën
* Foto en film
* Gezondheid
* Identificatie
* Internationaal
* Internet, telefoon, tv en post
* Onderwijs
* Overheid
* Politie en justitie
* Werk en uitkering
* Zelf doen
* Gebruik uw privacyrechten
* Voorbeeldbrieven privacyrechten
* FG aanmelden
* AVG-guidelines
* AVG-certificaat
* AVG-gedragscode
* Data protection impact assessment (DPIA)
* Voorafgaande raadpleging
* Vergunning aanvragen
* Zwarte lijst
* Thematische beleidsregels
* Publicaties
* Feiten en cijfers over de AP
* Rapportages klachten en datalekken
* Jaarverslagen
* Onderzoeken
* Boetes en andere sancties
* Wetgevingsadviezen
* Wob-besluiten
* Register vergunningen
* Reactie AP Kamervragen
* Overige publicaties
* Contact
* Ik heb een vraag over de AVG
* Ik wil een privacyklacht melden
* Ik wil een datalek melden
* Ik wil de nieuwsbrief ontvangen
* Algemene contactinformatie
* Actueel
* Info voor FG's
Menu
CONTACT MET DE AUTORITEIT PERSOONSGEGEVENS
* Informatie- en Meldpunt Privacy
* Contactgegevens algemeen
* Informatie voor de pers
* Contact met de FG van de AP
* Contactpersoon Wet open overheid (Woo)
* Klacht melden
* Datalek melden
* Bezwaar maken
* Klacht over de AP
OVER DE AUTORITEIT PERSOONSGEGEVENS
* Organisatie
* Missie, ambitie, kernwaarden
* AP Focus 2020-2023
* Taken en bevoegdheden
* Het bestuur van de AP
* Raad van advies
* Samenwerking
* Werken bij de AP
PRIVACY & OVER DEZE SITE
* Privacyverklaring AP
* Privacybeleid AP
* Verwerkingsregister AP
* Cookieverklaring
* Kwetsbaarheid melden (CVD)
* Toegankelijkheid
* Publiciteitsbeleid
* Copyright
* Disclaimer
* RSS-nieuwsfeed
* Aanmelden nieuwsbrieven
* Afmelden nieuwsbrieven