Wat te doen bij een datalek

Vindt er inbreuk plaats op de beveiliging van persoonsgegevens dan noemt men dit een datalek. Dit kan op verschillende manieren gebeuren. Hier leest u wat u moet doen wanneer er een datalek wordt geconstateerd.

Bewustwording en melding doen
Als de verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Mocht dat niet lukken dan moet er een verklaring worden gegeven voor de vertraging. De meldplicht is niet van toepassing als het niet waarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Betrokkenen informeren
Betrokkene moet eveneens worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat betrokkene indien nodig voorzorgsmaatregelen kan treffen. De aard van de inbreuk alsmede aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moeten betrokkene gemeld worden.

Wanneer niet informeren
Een melding aan betrokkene is niet noodzakelijk wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de onderhavige persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling.

Melding
In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval moet staan. Het zou kunnen zijn dat niet alle informatie gelijktijdig gegeven kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken.

Documenteren
Een verwerkingsverantwoordelijke is verplicht alle inbreuken te documenteren, inclusief de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

Juridisch advies inwinnen
Neem voor nadere informatie omtrent het melden van een datalek contact op met een juridisch specialist.