Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kunt u aannemelijk maken dat dit niet zo is? Dan hoeft u het datalek niet aan de betrokkenen te melden.
Let op: u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geeft u in uw melding aan dat u het datalek niet heeft gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeldt u welke redenen u heeft om de betrokkenen niet te informeren.
Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht datalekken.