Een datalek is een beveiligingsincident waarbij persoonsgegevens onbedoeld worden blootgesteld, overgedragen, bekeken of gestolen door een onbevoegde entiteit. Dit kan bijvoorbeeld gebeuren door een cyberaanval, menselijke fout, of technisch falen. Voorbeelden van datalekken zijn:

• Persoonsgegevens die aan een verkeerde geadresseerde zijn verstuurd.
• Onbevoegde toegang tot een medisch dossier.
• Verlies van een USB-stick met niet-versleutelde persoonsgegevens.

Hoe meld je een datalek?

1. Beoordelen: Bepaal eerst of het datalek gemeld moet worden. Dit hangt af van de mogelijke impact op de betrokkenen. Als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen, moet het gemeld worden. 

2. Melden bij de Autoriteit Persoonsgegevens (AP): Meld het datalek binnen 72 uur na ontdekking via het Meldformulier datalekken De verwerkingsverantwoordelijke (de organisatie of persoon die het doel en de middelen voor het gebruik van persoonsgegevens bepaalt) moet de melding doen.

3. Informeren van betrokkenen: Als het datalek waarschijnlijk een hoog risico voor de betrokkenen oplevert, moeten zij ook geïnformeerd worden. 

4. Aanvullen of aanpassen: Je kunt de melding eventueel aanvullen, aanpassen of intrekken als er nieuwe informatie beschikbaar komt. 

Datalek alleen bij digitale informatie? 

Een ieder die bij een archiefdienst werkt of beheerder is van analoge semi statische archieven heeft er wel eens mee te maken, het papieren dossier kan niet teruggevonden worden. De oorzaak is vaak gelegen in menselijk handelen, een ambtenaar die het dossier niet terugbrengt, het dossier is fout opgeborgen, in het ergste geval is het dossier gestolen.

Nu valt mij op dat dit soort vermissingen niet als datalek worden beschouwd ook vanwege het feit dat het dossier vrijwel altijd weer wordt teruggevonden. Is het analoge archief een blinde vlek bij datalekken? Ken je archiefdiensten die actief datalekken melden?

Nieuwe Archiefwet20xx

Een van de wijzigingen wordt met ingang van 1 januari 2027: 

Meldplicht voor (dreigende) beschadiging, vermissing, verlies of anderszins ontoegankelijk worden van documenten