Datalekken melden, hoe doe je dit weloverwogen. 

‘Help, een datalek. En nu?’

Een datalek is snel ontstaan. Een blaadje op het kopieerapparaat laten liggen is al een datalek, wanneer er persoonsgegevens op staan (zoals een naam). Maar lang niet elk datalek moet worden gemeld aan de Autoriteit Persoonsgegevens of degene van wie de persoonsgegevens zijn gelekt.

Wanneer moet je een datalek melden aan het AP?

Een datalek (een inbreuk in verband met persoonsgegevens) moet je altijd aan de Autoriteit Persoonsgegevens melden.Een uitzondering geldt wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkenen.

Bij een datalek moet je jezelf dus altijd afvragen, of het waarschijnlijk is dat het datalek problemen op kán leveren.

Een verkeerd gestuurd mailtje is al een datalek, dat problemen kan opleveren. Er zijn echter situaties waarin je direct contact op kunt nemen met de ontvanger. Als je kunt regelen dat de mail direct wordt verwijderd door de ontvanger, en het echt niet waarschijnlijk is dat er problemen door ontstaan, dan hoef je het datalek niet te melden aan de AP. Het is dan wel belangrijk dat je documenteert dat dit zich heeft voorgedaan, welke acties je hebt ondernomen, en waarom je meent dat er geen nadelige gevolgen zullen zijn ontstaan.

Wanneer meld je een datalek aan een betrokkene?

Wanneer een datalek waarschijnlijk een hoog risico inhoudt voor de betrokkenen, dan moet je het datalek ook melden aan de betrokkenen. Uiteraard is het toegestaan een datalek ook te melden wanneer je niet zeker weet of er een hoog risico is op nadelige gevolgen. Bij twijfel dien je een afweging te maken, waarbij de uitdrukking “better safe than sorry” een goed uitgangspunt vormt.

Hoe erg is het om een datalek te melden aan de AP?

Er worden veel datalekken gemeld aan de Autoriteit Persoonsgegevens. Lang niet elke melding levert problemen op voor de betrokken organisatie. De melding kan natuurlijk wel de aandacht op jouw organisatie vestigen wanneer je je zaken niet op orde lijkt te hebben. Het is daarom belangrijk de melding professioneel aan te pakken, goede documentatie te hebben, en aantoonbaar de juiste acties in werking te hebben gezet.

Niet melden van een datalek, dat wél gemeld had moeten worden, levert veel meer problemen op wanneer het bekend wordt bij de AP. Raadpleeg daarom bij twijfel een specialist, om te controleren of een datalek wel of niet gemeld moet worden.

Als jouw organisatie een externe Functionaris Gegevensbescherming bij AVG Compleet inhuurt, dan kun je altijd bellen naar jouw FG om te vragen of een bepaalde situatie een datalek is, en zo ja, of dat gemeld moet worden. Is het een serieus datalek, dan zal jouw FG je goed begeleiden bij het melden bij de AP.