36. | Datalek van persoonsgegevens |
---|---|
Risico | Er treedt een (ernstig) datalek op waarbij gevoelige persoonsgegevens in handen komen van derden |
Oorzaken |
|
Gevolg(en) |
|
Achtergrond- informatie | Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van de organisatie. De ernst van het risico is afhankelijk van het aantal betrokkenen en de hoeveelheid en gevoeligheid van de persoonsgegevens. Er is sprake van een ernstig datalek als het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Nagegaan moet worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. |
Maatregelen |
|
Status | In 2021 zijn datalekken opgetreden en enkele zijn ook gemeld bij de AP, echter zonder financiële consequenties of imagoschade voor de provincie. Voor 2022 wordt de kans op een ernstig datalek klein geacht (0-25%). Het gevolg is een mogelijke schadeclaim van betrokkenen. Door de toegenomen aandacht van burgers voor privacy en de trend om collectief schadeclaims in te dienen wat kan oplopen tot een enkele tot tientallen miljoenen, afhankelijk van het aantal getroffenen en de aard en omvang van de persoonsgegevens. Daarnaast, kan een boete vanuit AP worden opgelegd van maximaal € 20 mln. Vooralsnog wordt een gevolgschade van € 20 mln opgenomen met een kansinschatting van 0-25%. Dit resulteert in een risico van € 2,5 mln. (12,5% van € 20 mln). |