Paragrafen

Paragraaf Weerstandsvermogen en Risicobeheersing

36.

Datalek van persoonsgegevens

Risico

Er treedt een (ernstig) datalek op waarbij gevoelige persoonsgegevens in handen komen van derden

Oorzaken

  • Onvoldoende aandacht bij medewerkers voor privacyrichtlijnen
  • Onvoldoende waarborging in de processen
  • Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen

Gevolg(en)

  • (Collectieve) schadeclaims van betrokkenen door materiële en/of immateriële schade
  • De Autoriteit Persoonsgegevens (AP) legt een boete of last onder dwangsom op
  • Imagoschade

Achtergrond- informatie

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van de organisatie. De ernst van het risico is afhankelijk van het aantal betrokkenen en de hoeveelheid en gevoeligheid van de persoonsgegevens. Er is sprake van een ernstig datalek als het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Nagegaan moet worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden.

Maatregelen

  • Bewustzijn vergroten onder medewerkers door middel van directe communicatie en een bewustwordingscampagne
  • Procesinrichting op orde brengen
  • Verzekeren tegen cybercriminaliteit
  • Uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA)
  • Uitvoeren van jaarlijkse audit op processen met risicovolle verwerking van persoonsgegevens
  • Protocol voor afhandeling van een datalek door datalekteam

Status

In 2021 zijn datalekken opgetreden en enkele zijn ook gemeld bij de AP, echter zonder financiële consequenties of imagoschade voor de provincie. Voor 2022 wordt de kans op een ernstig datalek klein geacht (0-25%). Het gevolg is een mogelijke schadeclaim van betrokkenen. Door de toegenomen aandacht van burgers voor privacy en de trend om collectief schadeclaims in te dienen wat kan oplopen tot een enkele tot tientallen miljoenen, afhankelijk van het aantal getroffenen en de aard en omvang van de persoonsgegevens. Daarnaast, kan een boete vanuit AP worden opgelegd van maximaal € 20 mln. Vooralsnog wordt een gevolgschade van € 20 mln opgenomen met een kansinschatting van 0-25%. Dit resulteert in een risico van € 2,5 mln. (12,5% van € 20 mln).

Deze pagina is gebouwd op 07/01/2022 10:11:46 met de export van 07/01/2022 10:03:51