stel, je bent een usb-stick kwijt. het spreekt voor zich dat hoe meer persoonsgegevens erop staan van hoe meer mensen, des te erger het is. maar de kans dat een derde ook daadwerkelijk aan de haal gaat met die gegevens, is ook belangrijk. immers, als de gegevens op de usb-stick versleuteld waren, is de kans daarop weer kleiner. tenslotte is de belangrijkste factor de mogelijke impact van de betrokken gegevens. e-mailadressen zijn over het algemeen veel minder gevoelig dan bsn-nummers. en oh wee als er kopietjes van paspoorten op de usb stonden. overigens moet je de situatie in zijn geheel bekijken; sommige persoonsgegevens zijn in de ene situatie nu eenmaal gevoeliger dan in de andere. een woonadres van een politicus kan zeer vertrouwelijk zijn, terwijl het lekken van het adres van de fietsenmaker (die boven zijn zaak woont) vermoedelijk wat minder problematisch is.
ernst incident inschatten
op basis van de factoren omvang, kans en impact probeer je een beeld te krijgen van de risico’s voor de betrokkenen – en daarmee de ernst van een incident. is er nauwelijks of geen risico, dan schrijf je van je af waarom je niet meldt. hierbij denk je er wel over na óf en hoe een herhaling van het incident kan worden voorkomen. serieuze incidenten en risico’s moet je melden bij de ap. bij een hoog risico meld je het incident ook bij de betrokkenen. de drempel voor melding bij de ap ligt dus lager dan melding bij de betrokkenen. het kan zijn dat je wel meldt bij de ap en niet bij de betrokkenen, maar andersom kan formeel niet.
