Melden van datalekken

Heeft uw organisatie te maken met een datalek, dan is het wettelijk verplicht om het datalek intern te documenteren. Er zijn situaties waarin het daarnaast wettelijk is om het datalek te melden aan de Autoriteit Persoonsgegevens en de betrokkene(n).

Meer informatie

Wat is een datalek?

De AVG spreekt van een ‘inbreuk in verband met persoonsgegevens’ (datalek) wanneer een inbreuk op de beveiliging leidt tot het verlies, of het ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Persoonsgegevens zijn dus onbedoeld verloren gegaan, of ergens terechtgekomen terwijl dat niet de bedoeling was.

Voorbeelden van datalekken:

  • Een hacker verkrijgt toegang tot persoonsgegevens
  • Verlies van een USB-stick
  • Het versturen van een e-mailbericht waarin alle e-mailadressen in het CC-veld staan, in plaats van het BCC-veld
  • Verlies van persoonsgegevens in geval van een brand in het datacentrum, terwijl er geen back-up beschikbaar is
toegang doc-big

Wanneer moet u een datalek melden aan de toezichthouder?

U hoeft niet elk datalek te melden bij de Autoriteit Persoonsgegevens. De AVG bepaalt dat een datalek aan de toezichthouder gemeld moet worden indien er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Een lek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig).

Een paar voorbeelden uit de tweede categorie:

  • Financiële gegevens
  • Kopieën van identiteitsbewijzen
  • Gegevens die betrekking hebben op levensovertuiging
  • Gezondheidsgegevens

Daarnaast kunnen ook de aard van de organisatie, of de gegevens gepseudonimiseerd zijn en de aard van de inbreuk van belang zijn bij de beoordeling. Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur, aan de toezichthouder gemeld te worden door de verwerkingsverantwoordelijke. Deze termijn start op het moment dat de verwerkingsverantwoordelijke op de hoogte raakt van het datalek. Maak daarom ook afspraken met uw verwerkers.

Wanneer moet u een datalek melden aan betrokkenen?

Indien het datalek een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen (getroffen personen), dient u – naast de melding aan de toezichthouder – het lek tevens onverwijld te melden aan deze betrokkenen. Een datalek brengt een hoog risico voor betrokkenen teweeg wanneer het privéleven van betrokkenen waarschijnlijk door het lek wordt geschaad. Gevolgen die dan kunnen ontstaan zijn bijvoorbeeld:

  • Identiteitsfraude
  • Discriminatie
  • Reputatieschade

Wanneer kwalitatief ernstige gegevens (zie het vorige kopje) zijn gelekt, is eigenlijk altijd sprake van een hoog risico. Dit moet dus ook altijd worden gemeld aan de getroffen personen.

Hoe dient u een datalek te melden?

Via de website van de Autoriteit Persoonsgegevens dient u het datalek te melden. Na het doen van een melding, wordt er een ontvangstbevestiging getoond in de browser. Het is verstandig om deze ontvangstbevestiging af te drukken en te bewaren.

Wanneer u de betrokkenen informeert over het datalek, dan is het verstandig om dit schriftelijk (per e-mail of brief) te doen.

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.

Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat uw gegevens achter