Melden datalek

In de Algemene Verordening Gegevensbescherming (AVG) is een meldplicht datalekken opgenomen. Deze meldplicht verplicht organisaties om ernstige datalekken te melden bij de toezichthouder (in Nederland is dit de Autoriteit Persoonsgegevens) en, in sommige gevallen, ook bij de betrokkenen (de personen op wie de gegevens die zijn gelekt betrekking hebben).

Via deze webpagina kunnen zowel medewerkers, inhuurkrachten, opdrachtgevers als onderzoekspartners van CentERdata en leveranciers die voor CentERdata persoonsgegevens verwerken op een eenvoudige wijze een datalek melden.

Een datalek dient zo snel mogelijk gemeld te worden bij de Functionaris Gegevensbescherming (FG) van CentERdata (privacy@centerdata.nl). Medewerkers en inhuurkrachten van CentERdata zijn verplicht een datalek binnen 6 uur te melden. Let op: het gaat hier om klokuren niet om werkuren!

Veel gestelde vragen

Wat is een datalek?

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Ook de vernietiging, het verlies, de wijziging of het vrijkomen van de gegevens valt hieronder. 

Er zijn drie soorten datalekken:

  • Betrouwbaarheid: onbevoegde of onopzettelijke openbaring van/toegang tot persoonsgegevens; 
  • Integriteit: onbevoegde of onopzettelijke wijziging van persoonsgegevens;
  • Beschikbaarheid: onbevoegd of onopzettelijk verlies van toegang tot/vernietiging van persoonsgegevens.

Voorbeelden van datalekken zijn:

  • Een kwijtgeraakte USB-stick;
  • Een gestolen laptop;
  • Een mailing wordt verstuurd met alle e-mailadressen in de CC in plaats van de BCC;
  • Een inbraak door een hacker;
  • Een malware-besmetting;
  • Een calamiteit (zoals brand) in het datacentrum.

Wat is een persoonsgegeven?

Een persoonsgegeven is elk gegeven waarmee een persoon kan worden geïdentificeerd. Daarbij kun je denken aan:

  • NAW-gegevens
  • Telefoonnummers en e-mailadressen
  • Inloggegevens
  • BSN
  • Geslacht
  • Bijzondere persoonsgegevens (bijv. ras, etniciteit, religie en medische gegevens)
  • Een combinatie van achtergrondgegevens van respondenten

Wat als ik twijfel of er sprake is van een datalek?

Iedere inbreuk op de beveiliging moet intern geregistreerd worden. Handel in geval van twijfel alsof er sprake is van een ernstig datalek. Liever een keer te veel gemeld dan één keer te weinig!

Waarom moet een datalek al binnen 6 uur worden gemeld?

Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Door een datalek binnen 6 uur te melden heeft CentERdata nog ruim voldoende tijd om onderzoek te doen naar de toedracht van het datalek.

Mocht CentERdata de rol van verwerker hebben, dan kunnen wij het datalek tijdig bij de verwerkingsverantwoordelijke melden.

Wat gebeurt er na mijn melding?

De FG van CentERdata bekijkt de melding en bepaalt vervolgens of de verwerkingsverantwoordelijke, Autoriteit Persoonsgegevens en/of de betrokkenen moeten worden ingelicht. Ook kan de FG om aanvullende informatie vragen.

Van medewerkers, inhuurkrachten, opdrachtgevers, onderzoekspartners en leveranciers wordt verwacht dat zij alle informatie verstrekken om de juiste instanties en personen te informeren.