Moet een derde ('verwerker’) ook een datalek melden?
In veel gevallen wordt het verwerken van persoonsgegevens uitbesteed aan een derde partij. Data kan bijvoorbeeld toegankelijk zijn voor een clouddienstverlener die updates uitvoert op software, opgeslagen staan bij een hostingprovider, of beschikbaar zijn voor het marketing bedrijf dat e-mails in opdracht van klanten verzendt. Deze derde partij noemt de wet een verwerker.
Een verwerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de verwerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken. Er zullen daarom schriftelijke afspraken moeten worden gemaakt waarin wordt vastgelegd op welke wijze de klanten door de bewerker op de hoogte worden gesteld van een datalek. Deze afspraken kunnen worden opgenomen in een zogenoemde verwerkersovereenkomst.
Een verwerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de verwerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken. Er zullen daarom schriftelijke afspraken moeten worden gemaakt waarin wordt vastgelegd op welke wijze de klanten door de bewerker op de hoogte worden gesteld van een datalek. Deze afspraken kunnen worden opgenomen in een zogenoemde verwerkersovereenkomst.
Pro-abonnees downloaden gratis het Ebook met 75 vragen en antwoorden over Digitale beveiliging.