Wat is een datalek?

De term ‘datalek’ staat niet in de privacywet (Avg). De Avg heeft het over een ‘inbreuk in verband met persoonsgegevens’. Volgens de definitie in de Avg wordt hiermee bedoeld: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Voor het gemak spreken we hierna van ‘datalek’. Er is dus sprake van een datalek als er onbedoeld persoonsgegevens zijn vernietigd, kwijtgeraakt, veranderd of verstrekt. Ook is sprake van een datalek als er ‘ongeoorloofde toegang is geweest tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’ (denk aan onbedoelde inzage door iemand die daartoe niet gemachtigd was). Daarbij maakt het dus niet uit of dit per ongeluk of expres is gebeurd. Voorbeelden van datalekken zijn volgens de Autoriteit Persoonsgegevens: Het verlies van een USB-stick met niet-versleutelde persoonsgegevens. Een cyberaanval waarbij persoonsgegevens zijn buitgemaakt. Een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.