Wat is een datalek?
Algemeen
Niet elk datalek staat in de krant
Bij het woord “datalek” denk je misschien aan grote hacks, gelekte wachtwoorden en het dark web. En ja, dat is één soort lek.
Maar het is zeker niet de enige.
Sterker nog: de meeste datalekken zijn kleiner, minder spectaculair en veel gewoner.
Laten we eens kijken wat een datalek echt is, en waarom zelfs kleine fouten belangrijk zijn.
📖 Wat zegt de AVG?
Volgens Artikel 4(12) van de AVG is een datalek:
Een inbreuk in verband met persoonsgegevens die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot persoonsgegevens, al dan niet opzettelijk.
Daar vallen bijvoorbeeld onder:
- Het verliezen van een USB-stick met onversleutelde bestanden
- Een e-mail sturen naar de verkeerde persoon
- Persoonsgegevens tonen op een scherm waar anderen kunnen meekijken
- Per ongeluk gegevens wijzigen of verwijderen
- Een systeemfout waarbij gebruikers elkaars profielen kunnen zien
Dus ja, ook als er geen hacker bij kwam kijken, kan het nog steeds een datalek zijn.
🧑💻 Echte voorbeelden van kleine (maar serieuze) datalekken
Hier zijn een paar situaties die vaker gebeuren dan je denkt:
Je stuurt een klantenlijst naar het verkeerde e-mailadres. Zelfs als de ontvanger het meteen verwijdert, is de data wel gelekt.
Een collega ziet HR-informatie terwijl hij langs je scherm loopt. Die persoon had geen toegang mogen hebben, dus dat telt mee.
Een klant aan de balie ziet per ongeluk het scherm van een andere klant. Misschien gaat het om een naam, een factuur of een klacht. Als het persoonsgegevens zijn, is het een lek.
Een cloudmap staat per ongeluk openbaar. Een verkeerd ingestelde permissie zorgt ervoor dat gevoelige data een paar uur toegankelijk is voor anderen. Dat telt.
Als er persoonsgegevens zijn betrokken, en iemand ziet of krijgt toegang die dat niet mocht, dan is het waarschijnlijk een datalek.
📢 Moet je het melden?
Volgens de AVG geldt: als het lek waarschijnlijk een risico vormt voor de rechten en vrijheden van betrokkenen, dan moet je:
- Het melden bij de Autoriteit Persoonsgegevens binnen 72 uur
- Mogelijk ook de betrokken personen informeren, als het risico hoog is
Je bent ook verplicht om elk datalek te documenteren, zelfs als je het niet hoeft te melden. Dus wat er gebeurd is, welke data betrokken was en welke maatregelen je hebt genomen.
🧠 Kleine lekken zijn vaak verraderlijk
Kleine lekken voelen vaak onschuldig. Je kent de persoon die het zag. Ze zeggen dat het prima is. Het was maar een naam toch?
Maar juridisch en ethisch gezien maakt dat het geen “geen lek”.
Je moet het alsnog:
- Herkennen
- Het risico inschatten
- Documenteren
- En zorgen dat het in de toekomst niet opnieuw gebeurt
Zo bouw je vertrouwen en verklein je echte risico’s.
🛠️ Hoe ToolHive helpt
ToolHive helpt je om:
- Inzicht te krijgen in welke tools welke persoonsgegevens verwerken
- Je verwerkingsregister (RoPA) up-to-date te houden
- Risico’s per leverancier of systeem in kaart te brengen
- Juridische documentatie klaar te hebben voor audits of meldingen
- Goedkeuringsflows en incidenten overzichtelijk te beheren
Dus als er iets misgaat, weet je precies waar je moet beginnen.
🔐 Een datalek hoeft niet groot te zijn om serieus te zijn
De meeste datalekken zijn klein. Maar de impact kan groot zijn, zeker als er vertrouwen op het spel staat.
Of het nu een verkeerde klik is, een open scherm of een map die je te ruim gedeeld hebt, jij kunt het goed aanpakken.
De eerste stap is weten wat telt als lek.
Wil je meer grip op risico’s en je compliance verbeteren? Probeer ToolHive en breng structuur in je datalandschap.