Gebarsten beveiligingsbadge naast een intacte badge op donker bureau, scherpe schaduwen en rode waarschuwingslamp op de achtergrond.

Wat is het verschil tussen een incident en een datalek?

Een incident en een datalek zijn niet hetzelfde, hoewel ze nauw met elkaar samenhangen. Een beveiligingsincident is elke gebeurtenis die de beschikbaarheid, integriteit of vertrouwelijkheid van informatie bedreigt. Een datalek is een specifiek type incident waarbij persoonsgegevens daadwerkelijk zijn blootgesteld, verloren zijn gegaan of onrechtmatig zijn verwerkt. Het onderscheid bepaalt welke wettelijke verplichtingen op jou als organisatie van toepassing zijn. In de rest van dit artikel beantwoorden we de meest gestelde vragen over dit verschil en wat het voor jouw organisatie betekent.

Wanneer wordt een incident een datalek?

Een incident wordt een datalek op het moment dat er persoonsgegevens bij betrokken zijn en die gegevens zijn blootgesteld aan onbevoegde toegang, verlies, vernietiging of onrechtmatige verwerking. Niet elk incident leidt automatisch tot een datalek. Het gaat specifiek om situaties waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens in het geding is.

De Algemene Verordening Gegevensbescherming (AVG) definieert een datalek als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. Dat klinkt technisch, maar in de praktijk gaat het om concrete situaties zoals:

  • Een ransomware-aanval waarbij klantgegevens zijn versleuteld of gestolen
  • Een medewerker die een laptop met persoonsgegevens verliest
  • Een verkeerd geadresseerde e-mail met persoonlijke informatie van klanten
  • Een database die door een configuratiefout publiek toegankelijk is geworden
  • Ongeautoriseerde toegang tot een systeem met medische of financiële gegevens

Het cruciale verschil zit in de aanwezigheid van persoonsgegevens. Een DDoS-aanval die een webshop platlegt, is een ernstig incident, maar wordt pas een datalek als daarbij ook klantgegevens zijn buitgemaakt of ingezien. De geldende regelgeving rondom cybersecurity maakt dit onderscheid expliciet, omdat de meldplicht en de bijbehorende verplichtingen sterk verschillen, afhankelijk van de aard van het incident.

Wat zijn voorbeelden van een beveiligingsincident zonder datalek?

Een beveiligingsincident zonder datalek is een verstoring of aanval waarbij de veiligheid van systemen in het geding is, maar waarbij geen persoonsgegevens zijn blootgesteld of gelekt. Dit type incident vereist interne opvolging, maar leidt niet automatisch tot een meldplicht bij de Autoriteit Persoonsgegevens.

Voorbeelden van beveiligingsincidenten die geen datalek zijn:

  • DDoS-aanval op een website: de dienst valt uit, maar er worden geen gegevens gestolen of ingezien
  • Malware op een geïsoleerde server: de infectie wordt snel ingedamd voordat persoonsgegevens bereikbaar waren
  • Phishing-poging die mislukt: een medewerker herkent de aanval en klikt niet op de link
  • Ongeautoriseerde inlogpoging die wordt geblokkeerd: het systeem detecteert de poging en weigert toegang
  • Stroomstoring die systemen tijdelijk onbeschikbaar maakt: de beschikbaarheid is aangetast, maar gegevens zijn niet gelekt

Het onderscheid is in de praktijk niet altijd direct duidelijk. Bij een ransomware-aanval is het bijvoorbeeld lang niet altijd meteen zeker of aanvallers ook daadwerkelijk gegevens hebben ingezien of geëxfiltreerd. In dat geval moet je als organisatie onderzoeken wat er precies is gebeurd voordat je kunt concluderen of er sprake is van een datalek. Juist in die eerste uren en dagen is een gestructureerde aanpak essentieel.

Moet je een datalek altijd melden bij de Autoriteit Persoonsgegevens?

Nee, niet elk datalek hoef je te melden bij de Autoriteit Persoonsgegevens (AP). Onder de AVG geldt een meldplicht alleen als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokken personen. Is dat risico verwaarloosbaar, dan volstaat interne documentatie.

Er zijn drie niveaus te onderscheiden:

  1. Geen meldplicht: het datalek levert waarschijnlijk geen risico op voor betrokkenen. Wel verplicht intern vastleggen in het datalekregister.
  2. Melding bij de AP verplicht: het datalek levert waarschijnlijk een risico op. De melding moet binnen 72 uur na ontdekking plaatsvinden.
  3. Melding bij de AP én bij betrokkenen verplicht: het datalek levert waarschijnlijk een hoog risico op voor betrokkenen. Denk aan gelekte medische gegevens of financiële informatie.

Factoren die bepalen of een risico aanwezig is, zijn onder meer de aard van de gegevens (zijn het gevoelige categorieën zoals gezondheidsdata of BSN-nummers?), het aantal betrokkenen, de waarschijnlijkheid dat de gegevens zijn ingezien door onbevoegden en de mogelijke gevolgen voor de betrokkenen.

Naast de AVG-meldplicht geldt voor organisaties die onder de NIS2-richtlijn vallen een aanvullende meldplicht voor significante cyberincidenten. Deze melding gaat naar het NCSC en de relevante toezichthouder, en kent een eerste melding binnen 24 uur na ontdekking, een vervolgmelding binnen 72 uur en een eindverslag uiterlijk één maand na de eerste melding. Dit is een andere meldplicht dan die van de AVG en staat er los van.

Hoe reageer je op een incident dat mogelijk een datalek is?

Reageer op een mogelijk datalek door direct drie stappen te zetten: beheers het incident, stel vast of er persoonsgegevens bij betrokken zijn, en bepaal of melding verplicht is. Snelheid is cruciaal, want de wettelijke termijnen beginnen te lopen vanaf het moment van ontdekking, niet vanaf het moment van bevestiging.

Een gestructureerde aanpak ziet er als volgt uit:

  1. Indammen: isoleer het getroffen systeem of de betrokken account om verdere schade te voorkomen. Schakel geen systemen uit voordat forensisch onderzoek mogelijk is geweest.
  2. Onderzoeken: breng in kaart wat er is gebeurd, welke systemen zijn geraakt en of persoonsgegevens zijn betrokken. Leg alles vast.
  3. Beoordelen: bepaal of het incident kwalificeert als datalek en wat het risiconiveau is voor betrokkenen.
  4. Melden (indien van toepassing): bij een meldplichtig datalek moet je binnen 72 uur bij de Autoriteit Persoonsgegevens melden. Wacht niet tot je alle details hebt. Een initiële melding met de beschikbare informatie is beter dan een te late melding.
  5. Documenteren: registreer het incident in je interne datalekregister, ook als melding niet verplicht was.
  6. Herstellen en leren: herstel de normale bedrijfsvoering en analyseer hoe het incident kon ontstaan om herhaling te voorkomen.

Een goede voorbereiding op cyberincidenten begint lang voordat een incident plaatsvindt. Organisaties die beschikken over een actueel incidentresponsplan, duidelijke interne communicatielijnen en getraind personeel kunnen aanzienlijk sneller en effectiever reageren.

Wie is verantwoordelijk voor het afhandelen van een datalek?

De verwerkingsverantwoordelijke is primair verantwoordelijk voor het afhandelen van een datalek. Dat is de organisatie die het doel en de middelen van de gegevensverwerking bepaalt. Verwerkers, zoals externe leveranciers die namens jou gegevens verwerken, zijn verplicht een datalek onverwijld te melden aan de verwerkingsverantwoordelijke, maar de eindverantwoordelijkheid ligt bij de verwerkingsverantwoordelijke.

Binnen de organisatie zelf ligt de operationele verantwoordelijkheid doorgaans bij de Functionaris Gegevensbescherming (FG) of de privacy officer, in samenwerking met de IT-afdeling en het management. Maar de bestuurlijke verantwoordelijkheid ligt nadrukkelijk bij het bestuur zelf. Dit is ook het uitgangspunt van de NIS2-richtlijn: bestuurders zijn verantwoordelijk voor beslissingen over informatiebeveiliging en moeten voldoende kennis hebben om weloverwogen keuzes te maken.

Voor organisaties met een externe leverancier die persoonsgegevens verwerkt, is het essentieel dat de verwerkersovereenkomst duidelijke afspraken bevat over:

  • De termijn waarbinnen de verwerker een incident meldt aan de verwerkingsverantwoordelijke
  • Welke informatie de verwerker moet aanleveren bij een incident
  • Hoe samenwerking bij onderzoek en herstel is geregeld

In de praktijk zien we dat verantwoordelijkheden bij een datalek snel onduidelijk worden, zeker bij complexe ketens met meerdere leveranciers. Het is daarom verstandig om vooraf te bepalen wie welke rol heeft, en dit vast te leggen in beleid en procedures.

Hoe Q-Cyber helpt bij incidenten en datalekken

Het verschil tussen een incident en een datalek begrijpen is één ding. Weten wat je moet doen als het zover is, en ervoor zorgen dat je organisatie voorbereid is, is een ander verhaal. Wij helpen organisaties bij het hele traject: van preventie tot respons.

Wat wij concreet bieden:

  • Incidentresponsbeleid: wij schrijven beleid op maat zodat iedereen binnen de organisatie weet wat te doen bij een (mogelijk) datalek
  • NIS2-begeleiding: wij begeleiden organisaties bij de implementatie van de meldplicht en zorgplicht onder de Cyberbeveiligingswet
  • Vulnerability scans en pentests: via onze pentestdiensten brengen we kwetsbaarheden in kaart voordat aanvallers dat doen
  • Virtuele CISO: via Continuous-Q hebben organisaties toegang tot een team van specialisten dat structureel meekijkt en adviseert
  • Trainingen voor bestuurders en medewerkers: zodat de juiste mensen weten hoe ze moeten handelen bij een incident

Wil je weten hoe jouw organisatie er nu voor staat en wat je kunt doen om beter voorbereid te zijn op incidenten en datalekken? Neem contact met ons op voor een vrijblijvend gesprek.