In welke gevallen moet een verantwoordelijke een datalek melden?
Niet elk datalek moet worden gemeld. De wet bepaalt dat 'ernstige' datalekken binnen twee werkdagen bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Voorbeelden hiervan zijn: inloggegevens; financiële gegevens; kopieën van identiteitsbewijzen; school- of werkprestaties; gegevens die betrekking hebben op levensovertuiging; gegevens die betrekking hebben op gezondheid.
De voorwaarden voor een melding aan de Autoriteit Persoonsgegevens (verder 'de Autoriteit') zijn:
De voorwaarden voor een melding aan de Autoriteit Persoonsgegevens (verder 'de Autoriteit') zijn:
- Er is sprake van inbreuk op de beveiliging van persoonsgegevens zoals bijvoorbeeld een hack van een ict-systeem, diefstal van een (onbeveiligde) usb-stick, laptop of telefoon;
- De inbreuk doet zich voor bij een organisatie in de publieke of private sector;
- De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens zoals diefstal, verlies of misbruik van deze persoonsgegevens.
Pro-abonnees downloaden gratis het Ebook met 75 vragen en antwoorden over Digitale beveiliging.