Skip to main content

Wanneer moet je een datalek melden?

26 maart 2021

De term ‘datalek’ komt in de AVG zelf niet voor. De AVG heeft het over een inbreuk in verband met persoonsgegevens. Kort gezegd noemen we dit dus een datalek, maar wanneer is daarvan sprake?

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Daarvan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot bijvoorbeeld verlies of ongeoorloofde toegang tot persoonsgegevens (artikel 4 onder 12 AVG). Sprekende voorbeelden hiervan zijn het kwijtraken van een USB-stick met niet versleutelde persoonsgegevens, een e-mail met daarin persoonsgegevens die naar een verkeerde geadresseerde is gezonden, of een hack waarbij persoonsgegevens zijn buitgemaakt.

Wat te doen in zo’n situatie? Dat hangt op de eerste plaats af van de rol die je hebt. Als je verwerker bent, dan moet je, zodra je kennis hebt genomen van het datalek, dit zonder onredelijke vertraging melden bij de verantwoordelijke. Ben je de verantwoordelijke, dan moet je binnen 72 uur nadat je van het datalek op de hoogte bent, dit melden bij de Autoriteit Persoonsgegevens (AP). Deze meldingsplicht is echter niet absoluut. Melding kan achterwege blijven als het onwaarschijnlijk is dat er een risico is voor ‘de rechten en vrijheden’ van degene op wie de persoonsgegevens zien. Per geval zal dit moeten worden beoordeeld.

Maar wat wordt nu verstaan onder een risico voor de rechten en vrijheden van degene op wie de persoonsgegevens betrekking hebben? Een datalek kan verschillende nadelige gevolgen voor personen hebben, wat kan leiden tot lichamelijke, materiële of immateriële schade. Dit is nog wat abstract maar wat betekent dit nu concreet? Denk aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, verlies van vertrouwelijkheid van gevoelige gegevens, enz. Er moet dus gemeld worden bij de AP, tenzij het niet waarschijnlijk is dat er nadelige effecten zijn voor de perso(o)n(en) in kwestie.

Goed om te weten is dat van álle datalekken, dus zowel degene die gemeld moeten worden als degene die niet gemeld hoeven te worden, een overzicht moet worden bijgehouden. Dat overzicht moet een toelichting bevatten op de feiten omtrent het datalek, de gevolgen ervan en de genomen maatregelen.

In bepaalde gevallen moet de verantwoordelijke een datalek niet alleen melden bij de AP, maar moeten ook de getroffen personen worden geïnformeerd. Dat is het geval als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de perso(o)n(en) in kwestie. De drempel om betrokken personen in te lichten ligt dus wat hoger. Er is sprake van een hoog risico als het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de personen. Bijvoorbeeld discriminatie, identiteitsdiefstal of -fraude, financieel verlies en reputatieschade.

Twijfel je of er sprake is van een datalek, of er wel of niet een melding bij de AP moet worden gedaan, of dat de betrokken personen moeten worden geïnformeerd? Bel ons gerust!

Gepubliceerd op LinkedIn op 26 maart 2021.

Nieuws & Kennis

AlgemeenWorkshops en opleidingen
11 oktober 2022

LUSTRUM – WVO EVENT 2024!

JTVCc2hvd3NjYXRzJTVEHoud deze pagina in de gaten, nadere informatie volgt.
AlgemeenAnnemarie BusseArbeidsrechtPascal Willems
11 juni 2024

Law Talk 99: Niet reageren op verzoek om vast contract = vast contract

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFJTVCcG9zdF9wdWJsaXNoZWQlNUQlM0MlMkZoMyUzRQ==JTVCc2hvd3NjYXRzJTVEIn deze aflevering van Law Talk bespreken mr. Pascal Willems en mr. Annemarie Busse allereerst de uitspraak van de rechtbank…
AlgemeenArbeidsrechtSamantha Kranenburg
7 juni 2024

Dilemma Vrijdag 😎

JTNDaDMlMjBzdHlsZSUzRCUyMmNvbG9yJTNBJTIwJTIzMDA4YzliJTNCJTIyJTNFJTVCcG9zdF9wdWJsaXNoZWQlNUQlM0MlMkZoMyUzRQ==JTVCc2hvd3NjYXRzJTVE𝐉𝐨𝐮𝐰 𝐦𝐞𝐝𝐞𝐰𝐞𝐫𝐤𝐞𝐫 𝐡𝐞𝐞𝐟𝐭 𝐞𝐞𝐧 𝐜𝐨𝐧𝐭𝐫𝐚𝐜𝐭 𝐯𝐨𝐨𝐫 𝐛𝐞𝐩𝐚𝐚𝐥𝐝𝐞 𝐭𝐢𝐣𝐝 𝐞𝐧 𝐯𝐞𝐫𝐳𝐨𝐞𝐤𝐭 𝐬𝐜𝐡𝐫𝐢𝐟𝐭𝐞𝐥𝐢𝐣𝐤 𝐨𝐦 𝐡𝐚𝐚𝐫 𝐜𝐨𝐧𝐭𝐫𝐚𝐜𝐭 𝐨𝐦 𝐭𝐞 𝐳𝐞𝐭𝐭𝐞𝐧 𝐧𝐚𝐚𝐫 𝐨𝐧𝐛𝐞𝐩𝐚𝐚𝐥𝐝𝐞 𝐭𝐢𝐣𝐝.…