De meldplicht datalekken is onder de Algemene verordening gegevensbescherming (AVG) voor het grootste gedeelte hetzelfde als eerder onder de Wet bescherming persoonsgegevens (Wbp). De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.
U moet onder de AVG alle datalekken documenteren, inclusief de feiten over het datalek, de gevolgen daarvan en de genomen corrigerende maatregelen. Met deze documentatie moet de Autoriteit Persoonsgegevens (AP) kunnen controleren of u aan de meldplicht heeft voldaan.
Dit gaat verder dan de vroegere protocolplicht uit de Wbp, waarbij u alleen de gemelde datalekken hoefde te documenteren.
Andere nuanceverschillen zijn onder meer:
Onder de AVG kan er ook sprake kan zijn van een datalek als een verwerkingsverantwoordelijke tijdelijk of permanent de controle verliest over, of geen toegang meer heeft tot, de persoonsgegevens die hij verwerkt.
Onder de AVG mag er onder bepaalde omstandigheden worden afgezien van het melden van het datalek aan de toezichthouder en aan de betrokkenen als de persoonsgegevens waarover het gaat goed zijn versleuteld of vervangen door een hashwaarde.
Deze uitzondering geldt alleen als: (1) de gegevens nog volledig intact zijn; (2) de verwerkingsverantwoordelijke nog steeds de volledige controle over de gegevens heeft; (3) de sleutel die voor de encryptie of voor de hashing is gebruikt bij de inbreuk geen gevaar heeft gelopen en voor onbevoegden met de beschikbare technologische middelen niet te vinden is.
Bij de AVG gaat het om Europese regelgeving. Het kan daarbij voorkomen dat datalekken in grensoverschrijdende verwerkingen bij de AP worden gemeld, omdat de AP voor de betreffende verwerking de leidende toezichthouder is. In die gevallen moet de AP de andere betrokken privacytoezichthouders informeren.
De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze guidelines zijn bedoeld om organisaties te helpen om te bepalen of zij een datalek moeten melden.
