Moet ik een datalek altijd melden?

24 juli 2019

Moeten we in geval van een datalek daar altijd melding van maken bij de Autoriteit Persoonsgegevens (AP), of zijn er ook uitzonderingen?

Uw onderneming is verplicht om de personen in te lichten van wie de persoonsgegevens bij het datalek bloot zijn komen te liggen als het lek een hoog risico vormt voor rechten en vrijheden. Er zijn wel uitzonderingen op de meldingsplicht! Maar daarvoor gelden wel voorwaarden. Uw onderneming hoeft een datalek niet aan de gedupeerden te melden als aan één van de volgende voorwaarden is voldaan:

  • Uw onderneming heeft passende technische en organisatorische beveiligingsmaatregelen genomen en deze zijn toegepast op de persoonsgegevens die bij het datalek betrokken zijn. Het gaat dan met name om het ontoegankelijk maken van de persoonsgegevens voor onbevoegden, bijvoorbeeld met versleuteling.
  • Uw onderneming heeft als verantwoordelijke achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen.
  • De melding aan de betrokkenen zou onevenredige inspanningen van uw onderneming vergen, bijvoorbeeld als het om duizenden klanten gaat. In dat geval komt er een openbare mededeling of een soortgelijke maatregel waarbij alle betrokkenen even doeltreffend worden geïnformeerd. Dit kan bijvoorbeeld via een bericht op de website gebeuren.