Ik heb persoonsgegevens gelekt aan een betrouwbare partij. Moet ik dit melden aan de AP en de betrokken personen?

Antwoord

Heeft u persoonsgegevens gelekt aan een verkeerde ontvanger? Maar gaat het om een ‘betrouwbare ontvanger’? Dan kan dit betekenen dat het onwaarschijnlijk is dat het datalek een risico oplevert voor de betrokken personen. U hoeft het datalek dan niet te melden aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen.

Wat is betrouwbaar?

‘Betrouwbaar’ houdt in dat u er redelijk zeker van kunt zijn dat de onjuiste ontvanger geen kwaad in de zin heeft. Dus dat hij verder niets doet met de per ongeluk ontvangen gegevens. En dat hij zich houdt aan uw eventuele instructies. Bijvoorbeeld om de persoonsgegevens terug te sturen of te vernietigen.

Voorbeelden van betrouwbare ontvangers

Voorbeelden van betrouwbare ontvangers kunnen zijn:

  • partijen met wie u een zakelijke relatie heeft. Bijvoorbeeld een vaste leverancier;
  • partijen die een wettelijk beroepsgeheim hebben. Zoals een huisarts of andere zorgverlener.

Meewegen in het beoordelen van de risico’s

Is de verkeerde ontvanger een betrouwbare partij? Dan kunt u dit meewegen in het beoordelen van de risico’s van het datalek. Wanneer de ontvanger kan worden vertrouwd, kan dit namelijk de risico’s van het datalek wegnemen. U hoeft het datalek dan niet te melden aan de AP of de betrokken personen.

Twijfelt u of u het datalek moet melden? Dan kunt het beste het zekere voor het onzekere nemen en het datalek wél melden.

Wel registreren in datalekregister

Registreer een datalek wel altijd in uw datalekkenregister. Ook wanneer u het datalek niet hoeft te melden aan de AP en de betrokken personen.

Datum: 26 februari 2020
Bron: Autoriteit Persoonsgegevens