Volgens de GDPR reglementering betekent een inbreuk op persoonsgegevens een inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens, of het nu wordt opgeslagen, verzonden of anderszins verwerkt.

GDPR heeft tot doel ervoor te zorgen dat alle bedrijven de bescherming van persoonsgegevens serieus nemen en er zorgvuldig mee omgaan. Een datalek is een zeer ernstig incident met mogelijk ernstige gevolgen voor zowel het bedrijf als de betrokken personen.

Alle bedrijven zijn verplicht om een ​​logboek bij te houden van alle inbreuken, zelfs de kleinste incidenten moeten worden geregistreerd. Het logboek moet het incident zelf beschrijven, de oorzaak, de gevolgen, het risico van toekomstige schade, de getroffen gegevens en de maatregelen die zijn genomen om de risico’s voor verdere schade te beperken.

Inbreuken met een waarschijnlijke impact op de rechten en vrijheden van individuen moeten worden gerapporteerd aan de toezichthoudende autoriteit en mogelijks ook gerapporteerd aan de getroffen individuen.

Het is van cruciaal belang dat bedrijven passende technische en organisatorische maatregelen implementeren om datalekken te voorkomen. Tegelijkertijd moeten bedrijven ervoor zorgen dat hun systemen worden gecontroleerd op datalekken. Men kan geen melding maken van een mogelijk datalek als men een dergelijke inbreuk niet kan detecteren. Er bestaan ​​gespecialiseerde softwareoplossingen om systeeminbraak en datalekken te detecteren en u dient bij uw softwareleveranciers en IT-teams te bevestigen dat deze zijn ingezet voor uw verwerkingen.

Niet alle datalekken worden veroorzaakt door kwaadwillende derden zoals hackers. Er zijn tal van voorbeelden van onopzettelijk verlies of onbedoelde toegang door onbevoegden:

  • Een medewerker verliest een USB-stick / schijf met persoonlijke gegevensbestanden op de schijf en de gegevensbestanden zijn niet versleuteld
  • Een lid van het verkooppersoneel plaatst per ongeluk een omzetrapport met namen en financiële gegevens van klanten op de publieke website in plaats van op de intranet-teamsite
  • Een medewerker koppelt het verkeerde bestand aan een e-mail, wat resulteert in onbedoelde openbaarmaking van persoonsgegevens
  • Een medewerker verwijdert per ongeluk een klantenbestand die leidt tot verlies van persoonsgegevens

Een bedrijfscultuur waarin gegevensbeveiliging en privacy terdege kernwaardes zijn, zal niet alleen dergelijke ongevallen helpen voorkomen, maar zal ook vaak helpen de impact te minimaliseren. De menselijke factor en ervoor te zorgen dat alle medewerkers regelmatig trainingen volgen op het gebied van beveiliging en privacy, is de sleutel tot het tot stand brengen van de juiste beveiligings- en privacycultuur.