AVG: wat doe je met een datalek?

Stel, je komt er achter dat door jouw bedrijf verzamelde persoonsgegevens:

• terecht zijn gekomen bij een ‘onbevoegd’ persoon: er is per ongeluk een bestand verzonden aan de verkeerde persoon
• die in een kast werden opgeborgen, toegankelijk zijn geweest voor anderen doordat de kast niet op slot zat
• in een map zaten die verloren is gegaan, doordat er is ingebroken in een auto waar de map in lag of een collega is de map vergeten in de trein
• op een USB stick staan die iemand verloren is.

Dan heb je een datalek. En nu?

Dan geldt de meldplicht datalekken

In beginsel moet ieder datalek aan de Autoriteit Persoonsgegevens worden gemeld. Alleen die datalekken waarbij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen zijn uitgezonderd van de meldplicht.

Elke organisatie moet een procedure hebben hoe om te gaan met datalekken. In die procedure is in elk geval opgenomen dat elk datalek direct gemeld moet worden bij de Functionaris Gegevensbescherming en/of bij de verwerkingsverantwoordelijke.

Na deze (interne) melding moet een afweging worden gemaakt: moet het datalek gemeld worden bij de Autoriteit Persoonsgegevens (AP). Met andere woorden: is er sprake van meldplicht voor deze situatie?

Als de conclusie is NEE, dan meld je het niet. Als de AP op enig moment het datalek contateert, zullen zij navraag doen. Dan moet je met de procedure en de afweging maken dat er geen reden was tot melding.