Datalekken: verschil tussen versies
Geen bewerkingssamenvatting |
|||
| Regel 1: | Regel 1: | ||
Sinds 25 mei 2018 zitten we met de [[AVG]]. In de AVG wordt het begrip ‘datalekken’ gekoppeld aan een meldplicht voor [[Over de organisatie|Het Handje]] wanneer een datalek plaatsvindt dat ernstig genoeg is. Een organisatie die [[persoonsgegevens]] niet goed beveiligt (en daarmee een risico op datalekken loopt), of een bij haar bekend geworden datalek niet meldt, loopt kans op flinke boetes. Om maar niet te spreken over de mogelijke reputatieschade die het gevolg kan zijn van het onzorgvuldig omgaan met een (mogelijk) datalek. Wat betekent dit nou allemaal voor [[Over de organisatie|Het Handje]]? Hieronder staan we stil bij vragen zoals: wanneer is iets een datalek? Wat doe je als een datalek plaatsvindt en wanneer/hoe moet je melden? En, aan wie eigenlijk? | Sinds 25 mei 2018 zitten we met de [[AVG]]. In de AVG wordt het begrip ‘datalekken’ gekoppeld aan een meldplicht voor [[Over de organisatie|Het Handje]] wanneer een datalek plaatsvindt dat ernstig genoeg is. Een organisatie die [[persoonsgegevens]] niet goed beveiligt (en daarmee een risico op datalekken loopt), of een bij haar bekend geworden datalek niet meldt, loopt kans op flinke boetes. Om maar niet te spreken over de mogelijke reputatieschade die het gevolg kan zijn van het onzorgvuldig omgaan met een (mogelijk) datalek. Wat betekent dit nou allemaal voor [[Over de organisatie|Het Handje]]? Hieronder staan we stil bij vragen zoals: wanneer is iets een datalek? Wat doe je als een datalek plaatsvindt en wanneer/hoe moet je melden? En, aan wie eigenlijk? | ||
Wil je meer weten over de concrete stappen die je binnen Het Handje moet nemen wanneer je een datalek hebt gespot of vermoedt? Check dan [[Omgang met datalekken binnen Het Handje|Spelregel: omgang met datalekken]]. | Wil je meer weten over de concrete stappen die je binnen Het Handje moet nemen wanneer je een datalek hebt gespot of vermoedt? Check dan [[Omgang met datalekken binnen Het Handje|'Spelregel: omgang met datalekken]]'. | ||
=== Wat is een datalek? === | === Wat is een datalek? === | ||
In de [[Omgang met datalekken binnen Het Handje|'Spelregel: omgang met datalekken']] wordt de definitie al even toegelicht. Een datalek wordt in de AVG een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging ('''voorbeeld''': het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn. | |||
==== Beveiligingsincident vs datalek ==== | |||
Een datalek ontstaat dus altijd doordat er een inbreuk op de beveiliging heeft plaatsgevonden. Zo'n inbreuk kan ontstaan doordat er sprake is van een beveiligingslek (denk aan het niet op slot doen van een kast met gevoelige documenten). Leidt een zwakke beveiliging (een beveiligingslek) tot een beveiligingsincident én zijn daar persoonsgegevens bij betrokken (iemand zonder de bevoegdheid opent de kast en neemt documenten met persoonsgegevens mee) dan is er dus sprake van een datalek. | |||
Je kan dus beveiligingsincidenten hebben die geen datalekken zijn, maar je hebt andersom geen datalekken die geen beveiligingsincident zijn. | |||
==== Aard van de inbreuk en aard van het incident ==== | |||
De aard van de inbreuk is terug te herleiden tot het type of de aard van het beveiligingsincident dat heeft plaatsgevonden. Hier zijn verschillende type inbreuken mogelijk: | |||
* Een inbreuk op de vertrouwelijkheid | |||
* Een inbreuk op de integriteit | |||
* Een inbreuk op de beschikbaarheid | |||
De aard van de <u>inbreuk</u> volgt uit dus uit de aard van het ''beveiligingsincident''. | |||
* Een <u>inbreuk op de vertrouwelijkheid</u> (inbreuk) kan bijvoorbeeld ontstaan doordat een ''e-mail met informatie verstuurd is aan een verkeerde ontvanger'' (incident). | |||
* Een <u>inbreuk op de integriteit</u> (inbreuk) kan bijvoorbeeld ontstaan doordat er ''een hack plaats heeft gevonden en er informatie in systemen door onbevoegden is gewijzigd'' (incident). | |||
* Een <u>inbreuk op de beschikbaarheid</u> (inbreuk) vindt plaats wanneer er bijvoorbeeld ''brand uitbreekt in een datacenter en informatie verloren gaat'' (incident). | |||
Zoals we hierboven hebben kunnen lezen is er sprake van een datalek wanneer er persoonsgegevens betrokken zijn bij het beveiligingsincident. Bijvoorbeeld wanneer de verstuurde e-mail persoonsgegevens bevatte die onbekend waren voor de ontvanger (en ook zouden moeten zijn), of wanneer er bij de brand in het datacenter persoonsgegevens verloren gaan. | |||
Logischerwijs kan er bij één incident sprake zijn van meerdere inbreuken. Bij een hack waarbij gegevens worden gewijzigd (integriteit) moet de onbevoegde deze gegevens dus ook in kunnen zien (vertrouwelijkheid). Zo zijn er nog meer voorbeelden te bedenken. | |||
=== Wanneer moet Het Handje een datalek melden en aan wie? === | === Wanneer moet Het Handje een datalek melden en aan wie? === | ||
Versie van 5 apr 2024 15:52
Sinds 25 mei 2018 zitten we met de AVG. In de AVG wordt het begrip ‘datalekken’ gekoppeld aan een meldplicht voor Het Handje wanneer een datalek plaatsvindt dat ernstig genoeg is. Een organisatie die persoonsgegevens niet goed beveiligt (en daarmee een risico op datalekken loopt), of een bij haar bekend geworden datalek niet meldt, loopt kans op flinke boetes. Om maar niet te spreken over de mogelijke reputatieschade die het gevolg kan zijn van het onzorgvuldig omgaan met een (mogelijk) datalek. Wat betekent dit nou allemaal voor Het Handje? Hieronder staan we stil bij vragen zoals: wanneer is iets een datalek? Wat doe je als een datalek plaatsvindt en wanneer/hoe moet je melden? En, aan wie eigenlijk?
Wil je meer weten over de concrete stappen die je binnen Het Handje moet nemen wanneer je een datalek hebt gespot of vermoedt? Check dan 'Spelregel: omgang met datalekken'.
Wat is een datalek?
In de 'Spelregel: omgang met datalekken' wordt de definitie al even toegelicht. Een datalek wordt in de AVG een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging (voorbeeld: het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn.
Beveiligingsincident vs datalek
Een datalek ontstaat dus altijd doordat er een inbreuk op de beveiliging heeft plaatsgevonden. Zo'n inbreuk kan ontstaan doordat er sprake is van een beveiligingslek (denk aan het niet op slot doen van een kast met gevoelige documenten). Leidt een zwakke beveiliging (een beveiligingslek) tot een beveiligingsincident én zijn daar persoonsgegevens bij betrokken (iemand zonder de bevoegdheid opent de kast en neemt documenten met persoonsgegevens mee) dan is er dus sprake van een datalek.
Je kan dus beveiligingsincidenten hebben die geen datalekken zijn, maar je hebt andersom geen datalekken die geen beveiligingsincident zijn.
Aard van de inbreuk en aard van het incident
De aard van de inbreuk is terug te herleiden tot het type of de aard van het beveiligingsincident dat heeft plaatsgevonden. Hier zijn verschillende type inbreuken mogelijk:
- Een inbreuk op de vertrouwelijkheid
- Een inbreuk op de integriteit
- Een inbreuk op de beschikbaarheid
De aard van de inbreuk volgt uit dus uit de aard van het beveiligingsincident.
- Een inbreuk op de vertrouwelijkheid (inbreuk) kan bijvoorbeeld ontstaan doordat een e-mail met informatie verstuurd is aan een verkeerde ontvanger (incident).
- Een inbreuk op de integriteit (inbreuk) kan bijvoorbeeld ontstaan doordat er een hack plaats heeft gevonden en er informatie in systemen door onbevoegden is gewijzigd (incident).
- Een inbreuk op de beschikbaarheid (inbreuk) vindt plaats wanneer er bijvoorbeeld brand uitbreekt in een datacenter en informatie verloren gaat (incident).
Zoals we hierboven hebben kunnen lezen is er sprake van een datalek wanneer er persoonsgegevens betrokken zijn bij het beveiligingsincident. Bijvoorbeeld wanneer de verstuurde e-mail persoonsgegevens bevatte die onbekend waren voor de ontvanger (en ook zouden moeten zijn), of wanneer er bij de brand in het datacenter persoonsgegevens verloren gaan.
Logischerwijs kan er bij één incident sprake zijn van meerdere inbreuken. Bij een hack waarbij gegevens worden gewijzigd (integriteit) moet de onbevoegde deze gegevens dus ook in kunnen zien (vertrouwelijkheid). Zo zijn er nog meer voorbeelden te bedenken.