Overslaan naar inhoud

Datalek check

Snelle eerste inschatting om te bepalen of een incident waarschijnlijk een datalek is en mogelijk meldplichtig kan zijn onder de AVG.


Deze check geeft een praktische indicatie en vervangt geen juridisch advies of formele incidentbeoordeling.


Doe de check

Vraag 1


Zijn er persoonsgegevens betrokken?


Denk aan gegevens die direct of indirect herleidbaar zijn tot een persoon.


Voorbeelden:

  • naam

  • e-mailadres

  • telefoonnummer

  • adres

  • cliëntnummer

  • dossierinformatie

  • combinaties van gegevens die iemand herkenbaar maken


Ja ​Nee

Vraag 2


Waren deze gegevens toegankelijk voor onbevoegden?


Het gaat erom of iemand die geen toegang mocht hebben de gegevens kon zien, ontvangen, verliezen of openen.


Voorbeelden:

  • e-mail naar de verkeerde ontvanger

  • laptop, telefoon of USB-stick kwijtgeraakt

  • document of map verkeerd gedeeld

  • onbevoegde toegang tot een systeem

  • hack of malware


Ja ​Nee

Vraag 3


Gaat het om gevoelige of bijzondere persoonsgegevens?


Bij dit soort gegevens ligt de lat voor meldplicht veel lager.


Voorbeelden:

  • medische gegevens

  • cliëntdossiers

  • BSN

  • financiële gegevens

  • kopie identiteitsbewijs

  • wachtwoorden of inloggegevens


Ja ​Nee

Vraag 4


Kan dit schade veroorzaken voor de betrokken persoon?


Kijk naar het mogelijke risico voor de rechten en vrijheden van de persoon.


Voorbeelden:

  • identiteitsfraude

  • financiële schade

  • reputatieschade

  • discriminatie

  • schending van privacy


Ja ​Nee

Uitkomst: Geen datalek


Waarschijnlijk geen datalek


Op basis van deze eerste check lijkt er geen sprake te zijn van een datalek volgens de AVG.


Wat nu doen

  • Leg het incident intern vast

  • Controleer of de feiten volledig zijn

  • Bevestig dat er geen onbevoegde toegang was


Twijfel?

Uitkomst: Datalek


Waarschijnlijk geen meldplicht


Er lijkt sprake te zijn van een datalek, maar het risico voor de betrokken persoon lijkt beperkt.


In veel gevallen is melding bij de Autoriteit Persoonsgegevens dan niet verplicht.


Wat nu doen

  • Leg het incident vast in het datalekregister

  • Documenteer welke gegevens betrokken waren

  • Noteer waarom het incident niet meldplichtig is

  • Neem indien nodig maatregelen om herhaling te voorkomen



Hulp nodig?

Uitkomst: Datalek


Meldplicht


Er zijn persoonsgegevens toegankelijk geweest voor onbevoegden en dit kan risico opleveren voor de betrokken persoon.


In deze situatie is melding bij de Autoriteit Persoonsgegevens waarschijnlijk verplicht.


Wat nu doen

  • Verzamel direct alle feiten rondom het incident

  • Leg het incident vast in het datalekregister

  • Beoordeel of betrokken personen geïnformeerd moeten worden

  • Meld het datalek binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens


Meld direct

(Directe link naar het officiële Meldformulier datalekken)

 

Hulp nodig?

Hulp nodig bij een datalek?


Twijfel of er sprake is van een datalek of of melding bij de Autoriteit Persoonsgegevens verplicht is? Ik help organisaties snel en discreet bij het beoordelen van incidenten.


Vul het formulier in en beschrijf kort wat er is gebeurd. Ik neem zo snel mogelijk contact op om de situatie te bespreken en te bepalen welke stappen nodig zijn.


Indienen

Bericht verzonden


Bedankt voor uw bericht. Ik heb uw aanvraag ontvangen.


Ik neem zo snel mogelijk contact met u op om de situatie te bespreken en te bepalen welke vervolgstappen nodig zijn.


Bij urgente datalekken is het belangrijk snel te handelen vanwege de meldtermijn van 72 uur


Zorg daarom dat u bereikbaar bent.

Deze datalek check is bedoeld als eerste inschatting. In twijfelgevallen is een nadere beoordeling van de situatie noodzakelijk.