Aangifte van datalekken

Bij het opnemen van een aangifte worden een aantal vaste gegevens genoteerd. Houd er rekening mee dat er naar de volgende gegevens gevraagd zal worden:

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat bedrijven direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen. Dat zijn de mensen van wie de persoonsgegevens zijn gelekt.

Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Middels onderstaande drie vragen krijg je een goede indictie of aangifte doen noodzakelijk is. Is het antwoord op bovenstaande drie vragen ja, doen dan melding.

1. Heeft zich een beveiligingsincident voorgedaan? 

  • Bij een beveiligingsincident moet je bijvoorbeeld denken aan inbraak door een hacker (incl. ransomware) maar ook het het kwijtraken van een USB-stick, de diefstal van een laptop.

2. Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten.

  • Bijzondere persoonsgegevens over bijvoorbeeld iemands godsdienst, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens etc. 
  • Gegevens over de financiële of economische situatie van de betrokkene
  • Gebruikersnamen, wachtwoorden en andere inloggegevens
  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude zoals kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).

3. Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?

Je moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar. Via dit webformulier kunt u de melding zo nodig aanvullen of intrekken.