Melden aan betrokkenen

Bij een datalek hoef je de betrokkenen (de personen van wie je gegevens verwerkt, dat zijn bijvoorbeeld patiënten, cliënten, medewerkers, vrijwilligers, leden etc.) alleen te informeren als het lek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Je moet het datalek dus aan de betrokken personen melden als het lek kan leiden tot fysieke, materiële of immateriële schade voor deze personen.

Melden datalek niet nodig

Je mag de melding aan de betrokkenen eventueel achterwege laten als je passende technische beschermingsmaatregelen hebt getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.

Let op: je moet het datalek mogelijk wél melden aan de AP. Is een hoog risico voor de rechten en vrijheden van de betrokkenen onwaarschijnlijk? Dan geef je in je melding bij de AP aan dat je het datalek niet hebt gemeld aan de betrokkenen. Als onderbouwing hiervoor geef je aan welke redenen je hebt om de betrokkenen niet te informeren.

Guidelines meldplicht datalekken

De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen bepalen of zij een datalek moeten melden.