Beveiligingsincidenten en datalekken
Een beveiligingsincident is een fout of een lek in een systeem dat gebruikt wordt. Door deze fout of lek kan een systeem bijvoorbeeld niet meer betrouwbaar of beschikbaar zijn. Een beveiligingsincident is niet altijd meteen een datalek. We spreken van een beveiligingsincident als bij een fout of lek geen persoonsgegevens betrokken zijn. Als bijvoorbeeld een laptop zoek raakt, maar de toegang ertoe door beveiliging niet mogelijk is, spreken we van een beveiligingsincident. Bij een datalek gaat het om mogelijke, niet toegestane toegang van derden tot persoonsgegevens. Datalekken worden meestal veroorzaakt door menselijk handelen.
Voorbeelden van datalekken:
- Een verkeerd verzonden e-mail, of een e-mail met de ontvangers in het aan- of cc-veld in plaats van het bcc-veld.
- Het verlies van je zakelijke mobiele telefoon of laptop met gevaar op lekken persoonsgegevens.
- Een verkeerd verzonden of bezorgde brief.
- Verlies of diefstal van een usb-stick met persoonsgegevens.
- Persoonsgegevens die worden verwerkt of ingezien door een medewerker die daar geen bevoegdheid voor heeft.
- Brand in de serverruimte en geen back-up beschikbaar, waardoor persoonsgegevens verloren gaan.
Wat doe je bij een beveiligingsincident of een (mogelijk) datalek:
- loop direct naar of bel direct met de privacycoördinator (PC) van jouw eigen instituut of bureau
- of stuur direct een e-mail naar datalek@nwo-i.nl met een cc naar de privacycoördinator van jouw eigen instituut of bureau.
Het is belangrijk dat je een beveiligingsincident of datalek zo snel mogelijk meldt en met zoveel mogelijk details. Jouw privacycoördinator kan je daarbij helpen. Het datalekteam zal je vervolgens om meer informatie vragen en jou en je leidinggevende adviseren om bepaalde maatregelen te nemen, om daarmee de gevolgen van het beveiligingsincident/datalek zoveel mogelijk in te perken. Je wordt op de hoogte gehouden of een datalek bij de Autoriteit Persoonsgegevens en/of bij betrokken relaties van NWO-I gemeld moet worden.