Een datalek melden bij de Autoriteit Persoonsgegevens: wanneer en hoe?

In deze blogserie vertellen wij u alles over datalekken. Een belangrijk onderdeel van het correct en AVG-compliant afhandelen van datalekken, is het melden van een datalek bij de Autoriteit Persoonsgegevens (‘AP’). Maar let op, dit hoeft u niet bij ieder datalek te doen. Wij leggen u uit wanneer u een datalek moet melden en hoe dat werkt.

Welke datalekken moet u melden?

Alleen datalekken die een risico met zich meebrengen voor betrokkenen, moeten worden gemeld bij de AP. Een betrokkene is degene van wie de gegevens zijn gelekt. U moet hierbij rekening houden met de vraag hoe waarschijnlijk het is dat het risico zich voordoet en wat de gevolgen zijn wanneer dat inderdaad gebeurt. Over het uitvoeren van een risicoanalyse bij datalekken kunt u lezen in onze vorige blog. Bovendien hoeft u een datalek niet te melden wanneer u meteen nadat het datalek heeft plaatsgevonden, maatregelen heeft getroffen waardoor het risico voor betrokkenen zich hoogstwaarschijnlijk niet meer voordoet. U hoeft een datalek ook niet te melden wanneer de ontvanger betrouwbaar is. Heeft u een mail verkeerd geadresseerd, maar weet u wie de ontvanger is, en kunt u erop vertrouwen dat die persoon de inhoud niet verkeerd zal gebruiken? Dan hoeft u het datalek meestal niet te melden, tenzij er zeer gevoelige persoonsgegevens in staan, dan adviseren wij toch om het datalek te melden.

Wanneer moet u een datalek melden?

U moet een datalek melden aan de AP binnen 72 uur nadat u het datalek heeft ontdekt. Let wel op, want het weekend telt gewoon mee in die 72 uur. De AP houdt er dus geen rekening mee of uw Privacy Officer net een dag afwezig was, of het 16:00 uur is op vrijdagmiddag of Kerstavond. Meld het datalek dus in elk geval binnen 72 uur, óók wanneer het datalek zich niet bij u, maar bij uw verwerker heeft voorgedaan. Wist u dat u bovendien een voorlopige melding kunt doen? Als u binnen die 72 uur nog niet alles helder heeft over het datalek, kunt u een voorlopige melding doen en aanvullende details over het datalek op een later moment nog melden. Weet u dus nog niet alles, dan is dit een goede oplossing.

Wat moet je precies doorgeven aan de Autoriteit Persoonsgegevens?

Een melding kunt u doen via de website van de Autoriteit Persoonsgegevens. De AP vraagt dan naar de volgende informatie:

  • Contactgegevens en algemene informatie over de organisatie; 
  • Een tijdlijn over het ontstaan en de ontdekking van het datalek;
  • Welke soort datalek zich heeft voorgedaan;
  • De persoonsgegevens die betrokken zijn bij het datalek;
  • De groep mensen van wie de gegevens zijn gelekt;
  • Maatregelen die zijn getroffen voordat het datalek plaatsvond;
  • Gevolgen van het datalek;  
  • Vervolgacties n.a.v. het datalek;
  • Of de melding compleet is. Is dat niet het geval, dan kan er een vervolgmelding worden gedaan met aanvullende details. 

Heeft u vragen over een datalek dat zich bij u heeft voorgedaan of twijfelt u of u het datalek moet melden? Mail of bel dan eventjes, wij denken met u mee. +31 (0) 76 521 35 36.

Meer weten? Advies nodig? Neem contact op!

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

"*" geeft vereiste velden aan

Volledige naam*

Chat
1
Heeft u zakelijke vragen? Neem contact met ons op.