De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.

Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

Er zijn drie categorieën datalekken te onderscheiden:

Inbreuk op de vertrouwelijkheid 

Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.

Inbreuk op de integriteit

Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.

Inbreuk op de beschikbaarheid

Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

 

Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.