Datalekken

Veel organisaties krijgen wel een keer te maken met een datalek. Het is belangrijk dat organisaties direct actie ondernemen als zij een datalek hebben. Zodat de schade voor de slachtoffers zo klein mogelijk is. Want datalekken kunnen grote gevolgen hebben, zoals identiteitsfraude.

Op deze pagina

  1. Algemene informatie

Organisaties kunnen gelukkig veel doen om datalekken te voorkomen of de gevolgen ervan te verkleinen. Bijvoorbeeld door goede beveiligingsmaatregelen te nemen.

Snelle antwoorden

Wat moet ik doen als mijn bankrekeningnummer is gelekt?

Heeft u bericht ontvangen van een organisatie dat er een datalek is geweest? En dat daarbij bankrekeningnummers zijn gelekt? Dan kunt u dit doen:
 

  • Wees alert op telefoontjes of berichten per e-mail, sms of WhatsApp waarbij mensen informatie proberen te ontfutselen, zoals uw pincode. Uw bank zal u nooit op die manier vragen om een bepaalde code te geven of om uw bankpas te versturen naar een bepaald adres.
  • Let op eventuele afschrijvingen van uw bankrekening. Criminelen kunnen uw bankrekening gebruiken om spullen te kopen.
  • Kijk voor meer informatie op Veiligbankieren.nl.

Kan ik als organisatie 1 melding doen voor meerdere datalekken?

Nee, dat kan niet. U moet elk afzonderlijk datalek apart melden. Alleen als u bent aangesloten bij de Pensioenfederatie, het Verbond voor Verzekeraars of de Nederlandse Vereniging van Banken kunt u onder bepaalde voorwaarden een bulkmelding doen bij een datalek bij postverzending.

Bulkmelding

Bij een bulkmelding doet u 1 melding bij de AP voor meerdere, soortgelijke datalekken die zijn ontstaan bij grootschalige postverzendingen. Het maakt daarbij niet uit of u structureel of incidenteel op grote schaal poststukken verstuurt.

Voorwaarden bulkmelding

U mag alleen een bulkmelding doen als u aan al deze voorwaarden voldoet:

1. Type incident

De incidenten:

  • zijn hetzelfde soort incident;
  • zijn hetzelfde type inbreuk;
  • gaan over dezelfde soort persoonsgegevens;
  • raken dezelfde groep betrokkenen, waarbij u alle betrokkenen gelijk informeert (allemaal wel of allemaal niet).

2. Registratie

U legt vast welke inbreuken u in bulk heeft gemeld.

3. Bevoegdheid

U wijst medewerkers aan die als enige bevoegd zijn om bulkmeldingen te doen. 

4. AP informeren

U laat aan de AP weten:

  • hoeveel inbreuken u in bulk meldt;
  • hoeveel betrokkenen in totaal zijn getroffen;
  • hoeveel betrokkenen u informeert.

Tijdstip bulkmelding

U moet de bulkmelding binnen 1 maand doen nadat u van het eerste incident binnen de bulk kennis heeft genomen.

Wat wordt bedoeld met 'gegevensrecords' in het meldformulier datalekken?

In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.

Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term 'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een regel in een Excel-bestand: 1 regel in de lijst is dan 1 gegevensrecord.

Voorbeelden van gegevensrecords

  • Een aankoop bij een webwinkel is 1 gegevensrecord. Dit gegevensrecord kan onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de aankoop. Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben. 
  • Een kopie van een paspoort is 1 gegevensrecord. Daarop staan naast naam en geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
  • Gebruikt een ziekenhuis logfiles (logbestanden) om vast te leggen wie wanneer inzage heeft gehad in een medisch dossier? Dan is elke log 1 gegevensrecord.
  • Gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product heeft toegevoegd aan een winkelmandje? Dan is elke logregel 1 gegevensrecord.

Waar kan ik terecht met vragen over de meldplicht datalekken?

Heeft u een vraag over het melden van datalekken? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten.

Gerelateerde thema's en onderwerpen

Beveiliging

Beveiliging van persoonsgegevens

Een goede beveiliging van persoonsgegevens is niet voor niets een van de basisbeginselen van de privacywet AVG.
Ga naar onderwerp