Datalekken
Het kan iedereen gebeuren: je stuurt per ongeluk een mailtje naar de verkeerde persoon. Of je werklaptop wordt gestolen. Dat is niet alleen vervelend voor jou, maar mogelijk ook voor anderen: dit kan namelijk mogelijk een datalek veroorzaken. Om de gevolgen van datalekken te beperken, ziet Tilburg University erop toe dat deze zo snel mogelijk worden gemeld. Op deze pagina leggen we je uit wat een datalek is, waarom het belangrijk is om hier aandacht voor te hebben en wat je moet doen als je hiermee te maken krijgt.
Twijfel je of een incident een datalek is?
Meld het altijd intern! Hiervoor geldt namelijk: liever een keer teveel gemeld dan te weinig.
Wat is een datalek?
Wanneer er sprake is van ongeoorloofde of onbedoelde toegang tot, maar ook het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens, spreken we over een datalek. Er zijn talloze gebeurtenissen die binnen deze categorie kunnen vallen. Een aantal voorbeelden van mogelijke datalekken:
- Het naar de verkeerde ontvanger e-mailen van documenten of tekst waar persoonsgegevens in staan.
- Een cyberaanval waarbij persoonsgegevens zijn buitgemaakt.
- Een verkeerd ingestelde autorisatie in een applicatie, zodat personen die geen toegang horen te hebben tot bepaalde persoonsgegevens dat wel hebben.
- Een kwijtgeraakte USB-stick waarop persoonsgegevens waren opgeslagen.
- Een gestolen werklaptop of -telefoon.
- Het achterlaten van tentamenuitwerkingen in de trein.
Waarom is het belangrijk hier aandacht voor te hebben?
Tilburg University verwerkt om allerlei redenen een heleboel persoonsgegevens van mensen. Een datalek kan risico’s opleveren voor de privacy van deze mensen. Vaak zit er geen kwade opzet achter een datalek, maar een menselijke onhandigheid kan grote gevolgen voor de betrokkenen hebben. Door je bewust te zijn van dit risico, hopen we dat je ook bewust en zorgvuldig omgaat met de gegevens die je als werknemer verwerkt. Voorkomen is natuurlijk altijd beter dan genezen!
Daarnaast is Tilburg University verplicht om zelf een register bij te houden van datalekken en (wanneer het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen) het lek te melden bij de Autoriteit Persoonsgegevens. Voor het melden van datalekken bij de Autoriteit Persoonsgegevens geldt een strakke deadline, namelijk binnen 72 uur na ontdekking.
Wat moet je doen bij een datalek?
Ten eerste: geen paniek. Je bent niet de eerste die dit overkomt en je zult ook vast niet de laatste zijn.
Wel is het zaak om na ontdekking zo snel mogelijk te handelen, zodat de mogelijke gevolgen van het datalek zo klein mogelijk kunnen worden gehouden. Daarnaast is het van belang dat we leren van datalekken en waar nodig maatregelen kunnen treffen ter voorkoming van nieuwe datalekken. We vragen je dan ook om potentiële datalekken zo snel mogelijk te melden via het formulier Meld ons je datalek.
Je melding komt dan binnen bij de Werkgroep Privacy & Security. Deze werkgroep bestaat uit experts op het gebied van Privacy en Security, die het incident kunnen beoordelen en je verder kunnen helpen met hoe je de gevolgen van het datalek zoveel mogelijk kunt beperken. Zij kunnen ook beoordelen of het een datalek is waarvoor een meldplicht bij de Autoriteit Persoonsgegevens geldt.