Een datalek is een beveiligingsincident waarbij persoonsgegevens per ongeluk of opzettelijk verloren gaan, worden gewijzigd, ingezien of gedeeld met onbevoegden. Dit kan op verschillende manieren gebeuren, bijvoorbeeld wanneer een laptop met gevoelige informatie wordt gestolen, een e-mail met persoonsgegevens naar de verkeerde ontvanger wordt gestuurd of wanneer hackers toegang krijgen tot het computersysteem. Ook het onbedoeld openbaar maken van gegevens op een website of het verliezen van een USB-stick met klantinformatie zijn voorbeelden van een datalek.

Het melden van datalekken is een belangrijk, zo niet het belangrijkste onderdeel van gegevensbescherming. Immers als zich een datalek voordoet, kunnen de gevolgen aanzienlijk zijn. Voor de betrokkenen kan een datalek leiden tot identiteitsfraude, financiële schade of misbruik van persoonlijke gegevens, bijvoorbeeld door phishing of oplichting. Daarnaast kan het verlies van gevoelige informatie, zoals medische of financiële gegevens, grote impact hebben op de privacy en het gevoel van veiligheid van betrokkenen. Voor de gemeente kan een datalek leiden tot onder andere reputatieschade, verlies van vertrouwen bij inwoners en partners, en mogelijke juridische of financiële sancties van toezichthouders zoals de Autoriteit Persoonsgegevens.

Zodra een medewerker vermoedt dat er een datalek heeft plaatsgevonden, moet dit onmiddellijk worden gemeld aan de FG of de Privacy Officer van de gemeente. Deze beoordeelt eventueel samen met de CISO of er daadwerkelijk sprake is van een datalek. Hierbij geldt het uitgangspunt: bij twijfel, altijd melden. Het is beter om een melding te doen van een incident dat uiteindelijk geen datalek blijkt te zijn, dan het risico te lopen dat een daadwerkelijk datalek onopgemerkt blijft. Een tijdige melding is van groot belang om snel en adequaat te kunnen handelen en zo de mogelijke schade te beperken. Snelheid is bovendien noodzakelijk, omdat, wanneer dit verplicht is, een datalek binnen 72 uur na ontdekking moet worden gemeld aan de AP.

Een melding bij de AP kan online worden gedaan met het meldingsformulier op de website van de AP. De melding bevat onder meer:

›een beschrijving van het datalek;

›de categorieën persoonsgegevens die zijn getroffen;

›het aantal betrokkenen;

›een omschrijving van de gevolgen;

›welke maatregelen zijn of worden genomen;

›de contactgegevens van de FG of contactpersoon.

Als nog niet alle informatie bekend is, mag een voorlopige melding worden ingediend. Als alle informatie bekend is kan de voorlopige melding worden ingetrokken of definitief worden gemaakt.

Ook de betrokkenen (de personen wiens data is gelekt) moeten geïnformeerd worden als het lek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden, Dat zal bijvoorbeeld het geval zijn als bijzondere gegevens zijn gelekt zoals medische gegevens of als het lek kan leiden tot identiteitsfraude, discriminatie, financiële schade, of reputatieschade. Dat kan bijvoorbeeld het geval zijn als bsn’s, financiële gegevens of inloggegevens zijn gelekt.

Alle datalekken worden vastgelegd in het datalekregister. Dit register heeft als doel transparantie te bieden over incidenten waarbij persoonsgegevens betrokken zijn en inzicht te geven in de wijze waarop deze zijn afgehandeld. Daarnaast vormt het register een belangrijk hulpmiddel om van datalekken te leren. Door het analyseren van de geregistreerde incidenten kunnen trends en patronen worden herkend, bijvoorbeeld of bepaalde processen of afdelingen vaker te maken hebben met datalekken. Deze inzichten maken het mogelijk om werkprocessen te verbeteren en toekomstige incidenten te voorkomen. Een datalekmelding moet daarom vooral worden gezien als een kans om de organisatie verder te versterken.

Per datalek bevat het register ten minste de volgende informatie:

1.datum van ontdekking en datum van het lek (indien bekend);

2.omschrijving van het incident – wat is er precies gebeurd?

3.soort persoonsgegevens die zijn betrokken;

4.aantal betrokken personen (geschat);

5.oorzaak van het lek (bijv. menselijke fout, hack, systeemfout);

6.gevolgen en risico’s voor betrokkenen;

7.maatregelen die zijn genomen om het lek te verhelpen en herhaling te voorkomen;

8.of het lek is gemeld aan de Autoriteit Persoonsgegevens en/of aan de betrokkenen (met datum van melding).

Binnen de gemeente ligt de verantwoordelijkheid voor de afhandeling van datalekken bij de FG, maar alle medewerkers hebben een meldplicht bij een vermoeden van een datalek. Zorgvuldige en tijdige melding helpt schade te beperken en herhaling te voorkomen.

Praktijkvoorbeeld datalek: verkeerde bijlage in e-mail van Werk & Inkomen

Een medewerker van de afdeling Werk & Inkomen verstuurt per e-mail een beschikking naar een inwoner over een bijstandsaanvraag. Aan de e-mail wordt per ongeluk een verkeerde bijlage toegevoegd: een document met persoonsgegevens van een andere inwoner, waaronder naam, adres, burgerservicenummer (bsn), inkomensgegevens en bankrekeningnummer. De fout wordt opgemerkt wanneer de ontvanger van de e-mail de gemeente belt om te melden dat hij een document van iemand anders heeft ontvangen. De medewerker schakelt direct de Privacy Officer en FG in. De ontvanger wordt gevraagd de e-mail inclusief bijlage te verwijderen en te bevestigen dat hij het document niet heeft gedeeld of opgeslagen. Tegelijkertijd wordt het incident geregistreerd als datalek in het gemeentelijke datalekregister. De Privacy Officer beoordeelt samen met de Functionaris Gegevensbescherming (FG) de ernst van het incident. Omdat er gevoelige persoonsgegevens zijn gedeeld met een onbevoegde derde en er sprake is van een reëel risico op misbruik of identiteitsfraude, wordt besloten het datalek te melden aan de Autoriteit Persoonsgegevens. Daarnaast wordt beoordeeld dat het lek waarschijnlijk een hoog risico inhoudt voor de betrokken inwoner, waardoor deze persoon rechtstreeks wordt geïnformeerd over het incident, de mogelijke gevolgen en de getroffen maatregelen.

De melding wordt digitaal ingediend bij de AP via het meldingsportaal. De betrokken inwoner ontvangt dezelfde dag een schriftelijke toelichting en een contactpunt voor verdere vragen. Intern wordt besproken hoe dit soort fouten in de toekomst kan worden voorkomen. Uit die evaluatie blijkt dat het incident voortkwam uit tijdsdruk en onvoldoende controle op bijlagen. De gemeente besluit een extra beveiligingsmaatregel in te voeren: het e-mailsysteem waarschuwt voortaan automatisch bij verzending van berichten met bsn’s of gevoelige bijlagen naar externe adressen.