Overslaan en naar de inhoud gaan

Meldplicht datalekken

Als pedicure werk je met persoonsgegevens van jouw cliënten. Dit maakt jou de verantwoordelijke van die gegevens.
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden en ZZP’ers) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Wat is een datalek?

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Je spreekt van een datalek wanneer er daadwerkelijk negatieve gevolgen zijn voor de persoonsgegevens die worden verwerkt, of wanneer die gevolgen redelijkerwijs niet uit zijn te sluiten.

Heeft een pedicure meldingsplicht bij een datalek?

Bijna ieder beveiligingsincident waar persoonsgegevens bij zijn betrokken, draagt een zekere mate van risico in zich. Toch hoeft niet ieder incident te worden gemeld. Pas als een inbreuk op de beveiliging een aanzienlijke kans geeft op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, moet deze inbreuk worden gemeld aan de Autoriteit Persoonsgegevens. Die melding moet binnen 72 uur plaatsvinden.

Er zijn 3 vragen die je moet stellen als blijkt dat sprake is van een mogelijk incident:

  • Is er een technische of organisatorische inbreuk op getroffen beveiligingsmaatregelen geweest? Zo ja, ga dan door naar de volgende vraag.
  • Heeft de inbreuk tot gevolg dat persoonsgegevens zijn blootgesteld aan een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (lees: een risico op verlies of onrechtmatige verwerking)? Zo ja, ga door naar de volgende vraag.
  • Zijn de feiten en omstandigheden zodanig dat de aanzienlijke kans op deze nadelige gevolgen redelijkerwijs aanwezig is of moet worden verondersteld? Zo ja, dan moet in principe een melding aan de Autoriteit Persoonsgegevens plaatsvinden.

Voor een uitgebreid stappenplan om in actie te komen voor een datalek kan je hier terecht.

Moet ik alle datalekken melden aan betrokkenen?

Nee. Je hoeft de betrokkenen (de personen van wie je gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kun je aannemelijk maken dat dit niet zo is? Dan hoef je het datalek niet aan de betrokkenen te melden.
Let op: je moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geef je in je melding aan dat je het datalek niet hebt gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeld je welke redenen je hebt om de betrokkenen niet te informeren.

Wanneer is er sprake van een hoog risico?

Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet je onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
Voor meer informatie om te bepalen of een datalek een hoog risico heeft kun je hier klikken.