In de vorige blogs zijn we ingegaan op wat een datalek is en welke maatregelen je kan nemen om persoonsgegevens te beveiligen. Mocht het toch mis gaan dan ben je verplicht dit te melden. De meldplicht datalekken houd in dat je een melding moet doen bij de toezichthouder. Daarnaast moet je in sommige gevallen het datalek ook melden aan de betrokkenen.

Meldplicht datalekken: wat betekent dit voor jouw organisatie.

Als er binnen jouw organisatie een inbreuk in verband met persoonsgegevens heeft plaatsgevonden moet je in de eerste plaats een risico analyse uitvoeren. Niet alleen om het risico in te schatten maar ook om te beoordelen of je melding moet doen. Je bent namelijk niet verplicht om alle datalekken te melden bij de Autoriteit Persoonsgegevens.  

Meldplicht datalekken: wanneer melden en wanneer niet?

Als het waarschijnlijk is dat de inbreuk een (potentiële) impact heeft op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van de betrokkenen dan ben je verplicht om te melden. Daar staat tegenover dat je niet hoeft te melden als het niet waarschijnlijk is dat het datalek leidt tot risico’s voor de betrokkenen.

Kortom, je meld altijd aan de toezichthouder als er een (potentiële) impact is voor de betrokkenen.

Je hoeft in de volgende gevallen de toezichthouder en de betrokkenen niet te infomeren:
  1. Je hebt vooraf maatregelen genomen om het risico voor de betrokkenen te beperken. Denk hierbij aan encryptie en hashing. Deze uitzondering geldt alleen in de volgende gevallen. Ten eerste zijn de gegevens nog volledig intact. Daarnaast heeft u nog steeds de volledige controle over de gegevens. Ten slotte heeft de sleutel die je voor de encryptie of voor de hashing hebt gebruikt geen gevaar gelopen bij het incident. En is deze ook niet te kraken met technologie en/of hardware.
  2. De ontvanger is betrouwbaar. Een betrouwbare ontvanger is bijvoorbeeld iemand met wie u een zakelijke relatie heeft. Of een partij die gebonden is aan een wettelijk beroepsgeheim zoals een huisarts.
 Meldplicht datalekken: melden aan betrokkenen.

Zoals gezegd ben je in sommige gevallen verplicht om de inbreuk op persoonsgegevens te melden aan de betrokkenen. Je bent verplicht om de betrokkenen te informeren als er waarschijnlijk een hoog risico is voor hun rechten en vrijheden. Indien je aannemelijk kan maken dat dit niet zo is. Dan is het niet nodig om het datalek aan de betrokkenen te melden.

Je meld zowel aan de toezichthouder als aan de betrokkenen als er voor laatstgenoemde een hoog risico is voor hun rechten en vrijheden.

Je hoeft in de volgende gevallen geen melding te doen aan de betrokkenen:
  1. Je neemt direct na het incident passende maatregelen. Daarmee voorkom je het hoge risico voor de rechten vrijheden van de betrokkenen. Bijvoorbeeld bij onterechte toegang tot persoonsgegevens. Je hebt de persoon geïdentificeerd en voorkomt dat diegene nog bij de gegevens kan.
  2. In het geval het noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid (politie & justitie). Maar ook om de privacy van anderen te beschermen.

Bij vragen over de meldplicht datalekken kan u vrijblijvend contact met ons opnemen. Wij staan u graag te woord.

Meldplicht datalekken