Meldplicht datalekken

Terug

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken. Het is zinvol om eens bij wijze van test een melding te doen via het interactieve formulier (niet verzenden ;-)). Het wordt dan beter duidelijk welke informatie relevant is om te verzamelen zodat het melden op een juiste wijze kan worden uitgevoerd.

In het privacystatement formulier meldplicht datalekken is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.

De AP publiceert in 2017 elk kwartaal een totaaloverzicht van alle gemelde datalekken. Daarnaast gaat de AP in een aantal sectorspecifieke overzichten dieper in op de datalekken uit bepaalde sectoren. Zie: Overzichten meldingen datalekken.

Onderstaande grafieken geven een beeld van de meldingen die gedaan worden. Het betreft de melding bij de AP voor het derde kwartaal in 2017.

De onderstaande grafiek geeft een beeld van de soort persoonsgegevens in hetzelfde kwartaal.

Beleidsregels meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Een datalek melden aan de AP?

U moet het datalek onverwijld melden aan de Autoriteit Persoonsgegevens. Het onverwijld melden houdt in dat u, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek teneinde een onnodige melding te voorkomen.

De termijn voor het melden van het datalek begint te lopen op het moment dat uzelf, of een verwerker die u heeft ingeschakeld, op de hoogte raakt van een incident dat mogelijk onder de meldplicht datalekken valt.

Zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, doet u een melding bij de Autoriteit Persoonsgegevens, tenzij op dat moment inmiddels al uit uw onderzoek is gebleken dat het incident niet onder de meldplicht datalekken valt. Indien u het incident later dan 72 uur na ontdekking aan de toezichthouder meldt, dan kunt u desgevraagd motiveren waarom u de melding later heeft gedaan.

Mogelijk heeft u 72 uur na de ontdekking van het incident nog niet volledig zicht op wat er gebeurd is en om welke persoonsgegevens het gaat. In dat geval doet u de melding op basis van de gegevens waarover u op dat moment beschikt.

Eventueel kunt u de melding naderhand nog aanvullen of intrekken.
Om datalekken tijdig te kunnen melden zult u goede afspraken moeten maken met de bewerkers die u eventueel inschakelt, zodat zij u tijdig en adequaat informeren over alle relevante incidenten.

Een datalek wel of niet melden aan de betrokkene?

Onderstaande flowchart helpt organisaties vast te stellen of het datalek gemeld dient te worden aan de betrokken in de kwestie.