7.1 Lek melden
basisregel
De basisregel is dat uw organisatie een datalek moet melden aan de toezichthouder Autoriteit Persoonsgegevens (AP). Volgens artikel 33 van de AVG moet namelijk de organisatie die verantwoordelijk is voor de data die bloot zijn komen te liggen elke inbreuk melden waarbij persoonsgegevens betrokken zijn.
Voorbeelden van inbreuken rond persoonsgegevens die een datalek kunnen inhouden, zijn het verlies van een laptop, het versturen van een e-mail naar een verkeerd e-mailadres en een ransomware-aanval, waardoor de data op een pc niet meer benaderbaar zijn.
uitzondering
Er geldt hierbij wel een uitzondering, namelijk als het niet waarschijnlijk is dat het datalek risico’s inhoudt voor de rechten en vrijheden van de personen waar de persoonsgegevens bij horen. Denk aan een verloren laptop die versleuteld is en waar slechts een paar losse namen op staan. In dat geval hoeft uw organisatie geen melding van het datalek te maken bij de AP.
Zonder vertraging
zonder vertraging
Is er wel een melding van het datalek nodig, dan moet die melding gebeuren zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat uw organisatie kennis heeft genomen van het datalek. Als de melding aan de AP niet binnen 72 uur plaatsvindt, moet u deze vertraagde melding goed kunnen motiveren.