Eerst de vraag: wat is een datalek? Natuurlijk kunt u hierbij denken aan ongeoorloofde of onbedoelde toegang tot persoonsgegevens, dus een derde of een onbevoegd persoon kon bij de gegevens (een verloren USB-stick met niet-versleutelde persoonsgegevens of een cyberaanval waarbij persoonsgegevens worden buitgemaakt). Maar ook het onbedoeld vernietigen of foutief wijzigen van persoonsgegevens is een datalek. Of de situatie dat u als bevoegd persoon niet meer bij de data kan, bijvoorbeeld door een besmetting van uw systeem met ransomware.
Als zich helaas een datalek heeft voorgedaan, moet u snel in actie komen. Uiteraard moet de schade zoveel mogelijk worden beperkt. Daarnaast moet u zich afvragen of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens en/of bij de betrokkenen zelf. De meldplicht datalekken houdt in dat organisaties direct een melding moeten doen bij de AP, zodra zij een ernstig datalek hebben. Soms moet het datalek ook worden gemeld aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Volgens de Autoriteit Persoonsgegevens moeten organisaties een datalek melden, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen hoeven alleen geïnformeerd als er sprake is van een hoog risico.
De Autoriteit Persoonsgegevens heeft een speciaal Meldloket datalekken. Klik hier om een een datalek te melden.