Volgens de Autoriteit Persoonsgegevens moet een verwerkingsverantwoordelijke een datalek ‘onverwijld’ melden aan de betrokkenen als het datalek een hoog risico inhoudt voor hun rechten en vrijheden. Door betrokkenen zo snel mogelijk op de hoogte te stellen kunnen zij, voor zover dat mogelijk is, voorzorgsmaatregelen treffen (denk aan bijvoorbeeld het wijzigen van wachtwoorden).
De Autoriteit Persoonsgegevens geeft een lijstje van mogelijke gevolgen van datalekken: discriminatie, (identiteits-)fraude, financiële schade en/of reputatieschade. Als een dergelijk gevolg waarschijnlijk is, moet de betrokkenen ingelicht worden. Wanneer er bijzondere persoonsgegevens zijn gelekt, dan kun je ervan uitgaan dat bovenstaande schade waarschijnlijk kan optreden, en dat het datalek dus gemeld moet worden aan de betrokkenen.
Er zijn drie uitzonderingen op de meldplicht aan de betrokkenen.
- De verwerkingsverantwoordelijke heeft passende technische en organisatorische maatregelen genomen om persoonsgegevens vóór de inbreuk te beschermen, met name maatregelen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden.
- Onmiddellijk na een inbreuk heeft de verwerkingsverantwoordelijke maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van natuurlijke personen zich waarschijnlijk niet meer zal voordoen.
- Het zou onevenredige inspanningen vergen om contact op te nemen met personen, misschien omdat hun contactgegevens verloren zijn gegaan als gevolg van de inbreuk of omdat deze gegevens niet bekend zijn. De verwerkingsverantwoordelijke moet dan een openbare mededeling doen of een soortgelijke maatregel nemen, waarbij de personen even doeltreffend worden geïnformeerd.
Voor meer informatie klik hier.
