Moet ik een datalek altijd melden?
Geplaatst op: 04-02-2020, 10:08:46
Vraag
Moeten we in geval van een datalek daar altijd melding van maken bij de Autoriteit Persoonsgegevens (AP), of zijn er ook uitzonderingen?
Antwoord
Uw onderneming/praktijk is verplicht om de personen in te lichten van wie de persoonsgegevens bij het datalek bloot zijn komen te liggen als het lek een hoog risico vormt voor rechten en vrijheden. Er zijn wel uitzonderingen op de meldingsplicht! Maar daarvoor gelden wel voorwaarden. Uw onderneming/praktijk hoeft een datalek niet aan de gedupeerden te melden als aan één van de volgende voorwaarden is voldaan:
- Uw onderneming/praktijk heeft passende technische en organisatorische beveiligingsmaatregelen genomen en deze zijn toegepast op de persoonsgegevens die bij het datalek betrokken zijn. Het gaat dan met name om het ontoegankelijk maken van de persoonsgegevens voor onbevoegden, bijvoorbeeld met versleuteling.
- Uw onderneming/praktijk heeft als verantwoordelijke achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen.
- De melding aan de betrokkenen zou onevenredige inspanningen van uw onderneming/praktijk vergen, bijvoorbeeld als het om duizenden klanten gaat. In dat geval komt er een openbare mededeling of een soortgelijke maatregel waarbij alle betrokkenen even doeltreffend worden geïnformeerd. Dit kan bijvoorbeeld via een bericht op de website gebeuren.
Bron: vraag & antwoord op www.rendement.nl van 24 juli 2019