Een datalek klinkt als iets wat alleen grote bedrijven overkomt. Maar het kan iedereen treffen – als consument én als ondernemer. Wat is een datalek precies, hoe ontstaat het en wat zijn de gevolgen? Dit artikel geeft je een helder overzicht.
Wat is een datalek?
Een datalek is een beveiligingsincident waarbij persoonsgegevens per ongeluk of onrechtmatig worden vernietigd, verloren, gewijzigd of toegankelijk gemaakt voor mensen die er geen recht op hebben. Een datalek hoeft dus niet altijd een hack te zijn.
Voorbeelden van datalekken:
- Een e-mail met persoonsgegevens die naar de verkeerde ontvanger wordt gestuurd
- Een gestolen laptop met onversleutelde klantgegevens
- Een cyberaanval waarbij klantdata wordt buitgemaakt
- Onbedoelde publicatie van persoonsgegevens op een website
De kern: persoonsgegevens komen terecht bij mensen of systemen die daar geen toegang toe mogen hebben – of gaan verloren terwijl ze beschermd hadden moeten zijn.
Hoe ontstaat een datalek?
Datalekken ontstaan op twee manieren: door menselijke fouten of door kwaadwillenden van buiten. In de praktijk is menselijke fout de meest voorkomende oorzaak.
- Menselijke fout – verkeerd geadresseerde e-mail, USB-stick kwijtraken, verkeerde bijlage meesturen
- Cyberaanval – phishing, ransomware, SQL-injectie of brute force aanval op systemen
- Technisch falen – een misconfiguratie waardoor data openbaar toegankelijk wordt
- Interne fraude – een medewerker die gegevens opzettelijk doorspeelt of misbruikt.
Wat zijn de gevolgen van een datalek?
De gevolgen van een datalek zijn er voor twee partijen: de betrokkenen wiens gegevens zijn gelekt, en de organisatie die verantwoordelijk is voor de beveiliging.
Gevolgen voor betrokkenen:
- Identiteitsfraude of phishing op basis van de gelekte gegevens
- Reputatieschade als gevoelige informatie openbaar wordt
- Financiële schade bij het lekken van bankgegevens
Gevolgen voor de organisatie:
- Boetes van de Autoriteit Persoonsgegevens (tot € 20 miljoen of 4% jaaromzet)
- Reputatieschade en verlies van klantvertrouwen
- Meldplicht bij de AP én bij de getroffen personen in ernstige gevallen
Hoe herken je een datalek?
Een datalek is niet altijd direct zichtbaar. Signalen dat er mogelijk een lek is:
- Ongebruikelijke inlogpogingen of verdachte accountactiviteit
- Meldingen van klanten over ongewenste contacten of fraude
- Systemen die trager werken of onverwacht gedrag vertonen
- Een medewerker die meldt een e-mail naar het verkeerde adres te hebben gestuurd
Zodra je vermoedt dat er een datalek is, moet je direct handelen. Onderzoek het incident, beperk verdere schade en beoordeel of er een meldplicht geldt.
Voordelen en nadelen van snelle actie bij een datalek
Voordelen van snel handelen:
- Beperkt verdere schade voor betrokkenen
- Toont aan dat je als organisatie verantwoordelijk handelt
- Kan de hoogte van een boete positief beïnvloeden
Risico's van te laat handelen:
- Hogere boetes vanwege te late melding (de termijn is 72 uur)
- Meer schade voor betrokkenen die niet tijdig gewaarschuwd zijn
- Grotere reputatieschade door mediaberichtgeving
Veelgestelde vragen
Wat is een datalek precies?
Een datalek is een beveiligingsincident waarbij persoonsgegevens per ongeluk of opzettelijk worden vernietigd, verloren, gewijzigd of toegankelijk gemaakt voor onbevoegden. Een hack is één vorm van een datalek, maar een verkeerde e-mail is dat ook.
Moet je een datalek altijd melden?
Niet altijd. Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens als het waarschijnlijk risico oplevert voor de rechten en vrijheden van betrokkenen. Is dat risico hoog, dan moeten ook de betrokkenen zelf worden geïnformeerd.
Binnen hoeveel tijd moet je een datalek melden?
Je moet een meldingsplichtig datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens. Lukt dat niet volledig, meld dan wat je weet en vul de melding later aan.
Wat als je een datalek te laat meldt?
Te late melding is een overtreding van de AVG. De Autoriteit Persoonsgegevens kan hiervoor een boete opleggen. Hoe hoger het risico van het lek, hoe zwaarder de gevolgen van een late of ontbrekende melding.
Kan een individu ook een datalek veroorzaken?
Ja. Als je als medewerker per ongeluk een e-mail met persoonsgegevens naar de verkeerde ontvanger stuurt, is dat al een datalek. De organisatie waarvoor je werkt is verantwoordelijk voor de melding en afhandeling.
