Moeten datalekken altijd gemeld worden bij de betrokkenen?
Nee
U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.
Kunt u aannemelijk maken dat betrokkenen waarschijnlijk geen last zullen hebben van een datalek? Dat wil zeggen: dat het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens (AP). U moet een datalek melden bij de AP als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. Meer informatie hierover vindt u in de Beleidsregels meldplicht datalekken.
Moet u het datalek bij de AP melden? Maar zijn ongunstige gevolgen voor de betrokkenen onwaarschijnlijk? Dan geeft u in uw melding bij de AP aan dat u het datalek niet heeft gemeld aan de betrokkenen. Als onderbouwing hiervoor geeft u aan waarom het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen.
Voorbeeld
Een derde partij (zoals een hacker) ontdekt een beveiligingsprobleem in uw systeem. Door dit probleem zijn de persoonsgegevens in uw systeem toegankelijk voor onbevoegden. Deze partij geeft dit ter goeder trouw aan u door. Kunt u met logs aannemelijk maken dat behalve deze derde partij niemand anders onbevoegd toegang heeft gekregen tot de persoonsgegevens? Dan zijn er waarschijnlijk geen ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen. En hoeft u het datalek dus niet aan de betrokkenen te melden. Maar de inbreuk heeft wel nadelige gevolgen gehad voor de bescherming van de persoonsgegevens. Daarom moet u het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Of u dit moet doen, hangt onder meer af van de aard van de persoonsgegevens waartoe de derde partij toegang heeft gehad. Zie verder de Beleidsregels meldplicht datalekken.
Onder de AVG moet u wel alle datalekken (gemeld of niet gemeld bij de Autoriteit Persoonsgegevens) intern registreren. Hoe u dit moet doen en een voorbeeld van een beveiligingsregister vindt u in de doe-het-zelf tool van AVG online.