Wat is een datalek volgens de AVG?

Een datalek (AVG Art. 4 lid 12) is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, onbevoegde toegang of onbevoegde verstrekking van persoonsgegevens. De definitie is breed. Voorbeelden van datalekken: een gestolen of verloren laptop met klantgegevens, een gehackte website waaruit data is uitgelekt, een e-mail met persoonsgegevens naar de verkeerde ontvanger, een papieren dossier dat in de prullenbak op straat belandt, een ex-werknemer die nog toegang heeft tot het CRM, malware die data exfiltreert, een verkeerd geconfigureerde Amazon S3-bucket. Meldplicht datalek (Art. 33-34): als verwerkingsverantwoordelijke moet je binnen 72 uur na kennisname melden bij de Autoriteit Persoonsgegevens, tenzij het lek waarschijnlijk geen risico oplevert voor de betrokkenen. Bij hoog risico moet je ook de betrokkenen zelf informeren — meestal per brief of e-mail. Wanneer geen melding? Alleen als de data versleuteld was met state-of-the-art encryptie en de sleutel niet is gecompromitteerd, OF als je onmiddellijk hebt ingegrepen waardoor het risico minimaal is. Documentatieplicht: elk datalek — gemeld of niet — moet je intern documenteren in een datalekregister. De AP kan dat opvragen. Boete? Niet melden binnen 72 uur kan een boete opleveren tot €10 miljoen of 2% wereldwijde omzet (Art. 83). Niet beveiligen leidt vaak tot zwaardere boetes (Art. 32). Wat als JIJ slachtoffer bent? Het bedrijf moet jou informeren als jouw data is gelekt + risico hoog is. Doen ze dat niet? Klacht bij de AP. Schade geleden? Schadeclaim op basis van Art. 82.