Wanneer hoef ik een datalek níet te melden aan de AP en de betrokken personen?

Antwoord

U hoeft niet alle datalekken te melden. De privacywet eist dat organisaties een datalek melden bij de AP, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen informeert u alleen als er sprake is van een hoog risico.

Melden aan de AP en aan de betrokkenen niet verplicht

U hoeft het datalek niet te melden aan de AP of aan de betrokkenen in de volgende gevallen.

1. Maatregelen vooraf

U heeft voordat het datalek plaatsvond passende maatregelen getroffen. Hierdoor zijn de gelekte persoonsgegevens onbegrijpelijk voor onbevoegden. Bijvoorbeeld doordat de gegevens goed zijn versleuteld of vervangen door een hashwaarde.

Let op: deze uitzondering geldt alleen als:

  • de gegevens nog volledig intact zijn.
  • u nog steeds de volledige controle over de gegevens heeft.
  • de sleutel die voor de encryptie of voor de hashing is gebruikt geen gevaar heeft gelopen bij het datalek. En deze ook met de beschikbare technologie niet vindbaar is voor onbevoegden

2. De onjuiste ontvanger is betrouwbaar

Zijn de persoonsgegevens verzonden aan een verkeerde maar betrouwbare ontvanger? Dan betekent dit mogelijk dat het niet langer waarschijnlijk is dat het datalek een risico oplevert. In dat geval hoeft u het datalek dus niet te melden aan de AP of aan de getroffen personen.

Melden aan de betrokkenen niet verplicht

Wanneer u een datalek niet hoeft te melden aan de AP, hoeft u het ook niet te melden aan de betrokken personen. Verder hoeft u het datalek ook niet aan de betrokken personen te melden in de volgende gevallen:

1. Maatregelen achteraf
U heeft, onmiddellijk nadat het datalek plaatsvond, maatregelen getroffen. Het hoge risico voor de rechten en vrijheden van betrokkenen zal zich hierdoor waarschijnlijk niet meer voordoen. Bijvoorbeeld wanneer u de persoon die toegang tot de persoonsgegevens heeft gehad onmiddellijk heeft geïdentificeerd en dat u actie heeft ondernomen voordat die persoon iets met de persoonsgegevens kon doen.

2. Uitzonderingen UAVG
Daarnaast noemt de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) een aantal gevallen waarin u een melding aan betrokkenen achterwege mag laten:

  • Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming van de privacy van anderen. Bijvoorbeeld wanneer kinderen een hulpvraag hebben gedaan zonder dat hun ouders dat weten.
  • Is uw organisatie een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft)? Dan geldt de meldplicht aan de betrokken personen niet voor u. Wel geldt de meldplicht aan de AP.

Informeren door openbare mededeling

Zou het individueel informeren van de betrokkenen een onevenredige inspanning vergen? Bijvoorbeeld omdat u de contactgegevens van de betrokkenen bent verloren door het datalek?

Dan mag u de betrokkenen ook informeren met een openbare mededeling of een soortgelijke maatregel, waarbij zij even doeltreffend worden geïnformeerd.

Datum: 26 februari 2020
Bron: Autoriteit Persoonsgegevens