Datalek definitie

De definitie van een 'datalek'

Vanaf 1 januari 2016 is de wet meldplicht datalekken van kracht. Dit betekent dat datalekken gemeld moeten worden als er persoonsgegevens gelekt zijn, of als er een kans bestaat op een lek. Als er sprake is van een datalek wordt de Wet bescherming persoonsgegevens (Wbp) overtreden. Organisaties kunnen hoge boetes krijgen van de privacytoezichthouder Autoriteit Persoonsgegevens. De meldplicht datalekken geldt voor zowel bedrijven als publieke instellingen die te maken hebben met persoonsgegevens. Ook MKB-bedrijven vallen onder de wet meldplicht datalekken. Wat is een datalek eigenlijk precies? In dit artikel lees je meer over de definitie van een datalek.

Datalek: de definitie

Een datalek moet gemeld worden, maar wanneer is er nu precies sprake van een datalek? Er zijn verschillende definities van een datalek te vinden op internet, maar wij vinden dat de volgende definitie de lading het beste dekt. Definitie datalek: bij inbreuk op de beveiliging van persoonsgegevens (volgens artikel 13 van de Wet bescherming persoonsgegevens).

In de praktijk betekent dit dat beveiligde informatie vrijgegeven wordt door een organisatie aan een publiek dat eigenlijk geen toegang zou mogen hebben tot deze persoonsgegevens. Dit noemen we een beveiligingsincident. Een beveiligingsprobleem is de oorzaak van een datalek. Het kan gaan om zowel opzettelijk als onopzettelijk gelekte informatie. 

Wat is een beveiligingsincident?

Een datalek ontstaat door een beveiligingsincident. Denk bijvoorbeeld aan diefstal van een smartphone van één van de medewerkers, cybercriminelen die zich toegang hebben verschaft tot de bedrijfssystemen of verloren USB-sticks. In deze voorbeelden is de veiligheid van persoonsgegevens in het geding, of bestaat hier een risico op. Op al deze voorbeelden kan de meldplicht datalekken van toepassing zijn. Datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens.

Wat zijn persoonsgegevens?

Bij een datalek zijn er persoonsgegevens gelekt of onrechtmatig verwerkt. Maar wat verstaan we nu precies onder persoonsgegevens? In de Wet bescherming persoonsgegevens (Wbp) staat dat een persoonsgegeven iedere informatie is over een natuurlijke persoon, die geïdentificeerd of identificeerbaar is. Het gaat alleen om levende personen, niet om gegevens van overleden personen of bedrijfsgegevens.

Lees meer over persoonsgegevens en datalekken