In onze vorige blog in deze serie heeft u kunnen lezen welke datalekken u moet melden aan de Autoriteit Persoonsgegevens (‘AP’) en hoe u dat moet doen. Maar met een melding aan de AP is niet altijd de kous af. In sommige gevallen moet u het datalek ook melden aan betrokkenen. Betrokkenen zijn degenen wiens gegevens gelekt zijn bij een datalek. Wij leggen u uit hoe dit precies zit.
Wanneer moet u een datalek melden bij betrokken?
Een datalek moet u melden aan de AP wanneer het datalek een risico met zich meebrengt voor betrokkenen. Wanneer het datalek daarnaast een hoog risico met zich meebrengt voor betrokkenen, moet u de betrokkenen hierover informeren. Wanneer er waarschijnlijk sprake is van een hoog risico, leest u in deze blog.
Welke informatie moet u geven?
Volgens de AVG moet u de volgende informatie verstrekken aan de betrokkenen:
- Een omschrijving van het datalek. Hieruit moet blijken wat de aard is van het datalek. Gaat het om een inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens?
- Is er binnen uw organisatie een functionaris gegevensbescherming aangesteld, wat soms verplicht is, dan moeten de naam en contactgegevens van de functionaris gegevensbescherming worden gegeven. Is er geen functionaris gegevensbescherming, dan moeten de betrokkenen worden geïnformeerd over een ander contactpunt waar ze meer informatie kunnen krijgen.
- De waarschijnlijke gevolgen van het datalek. Hierbij kan soortgelijke informatie worden gegeven als de informatie waar de AP om vraagt bij de melding. Dit hangt bijvoorbeeld ook af van de vraag of u weet of persoonsgegevens in handen van kwaadwillenden terecht zijn gekomen, bijvoorbeeld omdat de persoonsgegevens gelekt zijn door een hack.
- Welke maatregelen u al heeft getroffen of nog gaat treffen. Hoe gaat u ervoor zorgen dat de risico’s beperkt blijven? Of wellicht heeft u al risico’s getroffen. Informeer de betrokkenen daarover.
- Adviseer de betrokkenen ook over wat hij of zij zelf kan doen om de risico’s te beperken. Geef bijvoorbeeld aan dat het raadzaam is om inloggegevens te wijzigen, zodat de kans kleiner is dat gelekte inloggegevens daadwerkelijk gebruikt kunnen worden.
Een belangrijke opmerking: zorg dat u duidelijk en helder communiceert. Een melding aan de betrokkenen moet duidelijk en laagdrempelig zijn verwoord. Niet iedereen begrijpt immers een lange brief met moeilijk geformuleerde zinnen en juridische inhoud. De informatie moet voor iedereen begrijpelijk zijn. U kunt onze voorbeeldbrief gebruiken om betrokkenen te informeren, neem daarvoor gerust even contact met ons op.
Hulp nodig? Kunt u wat begeleiding gebruiken bij het afhandelen van het datalek of twijfelt u of u de betrokkenen moet informeren? Wij denken graag even met u mee! +31 (0) 76 521 35 36.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan