Een datalek?
Een datalek of een inbreuk op persoonsgegevens kan desastreuze gevolgen hebben.
Denk maar aan verlies van controle over persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie
Melding aan toezichthoudende autoriteit
Zodra de verwerkingsverantwoordelijke weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, dient hij de toezichthoudende autoriteit onverwijld en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk.
Wanneer de verwerkingsverantwoordelijke kan aantonen dat het onwaarschijnlijk is dat de inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, kan van de verplichte kennisgeving worden afgeweken. Wanneer de kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te worden van een verklaring voor de vertraging en kan de bijkomende informatie zonder onredelijke verdere vertraging in fasen worden verstrekt.
Indien de verwerker kennis heeft genomen van een inbreuk in verband met persoonsgegevens, informeert hij de verwerkingsverantwoordelijke zonder onredelijke vertraging.
Bij deze melding wordt ten minste het volgende omschreven of meegedeeld:
De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen. Deze informatie stelt de toezichthoudende autoriteit in staat de naleving van deze verplichting te controleren.
Melding aan betrokkene wier gegevens werden gelekt
Wanneer de inbreuk in verband met persoonsgegevens vermoedelijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee. In principe moeten de personen die door de gegevensinbreuk worden getroffen als eerste op de hoogte worden gebracht.
Deze melding bevat in duidelijke en eenvoudige taal een omschrijving van de aard van de inbreuk en ten minste de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen. Daarnaast bevat de melding een oplijsting van de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens, samen met de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken.
De mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld: