Datalekken

Wat is een datalek?

We spreken van een datalek als er bewust of per ongeluk persoonsgegevens zijn vrijgegeven (gelekt), ingezien, gewijzigd of gewist. Voorbeelden van datalekken zijn:

  • Diefstal van een laptop met persoonsgegevens die gebruikt worden bij werkzaamheden voor de EUR;
  • Een e-mail met persoonsgegevens versturen naar de verkeerde collega/persoon;
  • Cijferlijsten van studenten zijn zichtbaar op het internet;
  • Een hacker verkrijgt toegang tot persoonsgegevens;
  • Toegang krijgen tot mappen waar je geen toegang toe zou moeten hebben (bijvoorbeeld op Sharepoint of schijf);
  • Een collega krijgt per ongeluk de salarisstrook van een ander;
  • Het versturen van een e-mail waarin alle e-mailadressen in het CC-veld staan, in plaats van het BCC-veld;
  • Een print met persoonsgegevens laten liggen bij de kopieermachine of printer.

Wat zijn de gevaren van een datalek?

De gevolgen en risico's van een datalek kunnen groot zijn. Of er gevolgen en risico's aan verbonden zijn en hoe groot deze zijn, hangt onder andere af van welke data is gelekt. 

De volgende gevaren kunnen zich onder andere voordoen bij een datalek:

  • Identiteitsfraude
  • Oplichting
  • Phishing

Wat te doen bij een (mogelijk) datalek?

Vermoed je dat je een datalek hebt? Meld dit dan direct bij de Functionaris Gegevensbescherming via FG@eur.nl. De Functionaris Gegevensbescherming beoordeelt samen met de Privacy organisatie het (potentiële) datalek.

Wat te doen na een datalek?

Je hebt melding van een mogelijk datalek gedaan, wat gebeurt er nu?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Hij neemt daarvoor een vragenlijst met je door. Je kunt deze hieronder downloaden en zelf vast invullen.

Hoe lang heeft de ongewenste situatie plaatsgevonden, wat is de omvang van de groep die het betreft en wat is de schade voor betrokkenen indien iemand die kwaad in de zin heeft toegang heeft tot de gelekte data? 

Welke stappen dienen gezet te worden om de ongewenste situatie zo snel mogelijk te eindigen? Is er vervolgonderzoek nodig om de impact te kunnen vaststellen?

Op welke wijze en met welke informatie kunnen de betrokkenen direct worden geïnformeerd over het voorval, zodat zij zijn geïnformeerd en zelf vervolgacties kunnen nemen die voor het mogelijke risico's wegnemen of verkleinen.

Beoordeling of het datalek bij de Autoriteit Persoonsgegevens (AP) gemeld moet worden.

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Welke aanvullende actie is noodzakelijk en wenselijk voor de bij het mogelijk datalek betrokkenen medewerkers? Denk aan evaluatie, formuleren lessons learned en aanpassing werkproces. Denk ook aan een specifieke awareness bijeenkomst en/of training verzorgd door de EUR privacy organisatie. De casus kan worden toegevoegd als leerpunt in de EUR awareness campagne en/of privacy training en worden toegevoegd in de FAG lijst op MyEUR. Afspraken maken met bij het mogelijk datalek betrokkenen medewerkers over een toetsmoment om vast te stellen of de aangepaste werkwijze inderdaad effectief is.

Vergelijk @count opleiding

  • @title

    • Tijdsduur: @duration
Vergelijk opleidingen