7.2 Lek bij verwerker

heldere afspraken

Als uw organisatie een partij in de arm heeft genomen om persoonsgegevens te verwerken – de verwerker – moet u samen afspraken maken over aansprakelijkheden en de invulling van de meldplicht datalekken. De afspraken worden doorgaans gemaakt in een verwerkersovereenkomst (zie paragraaf 6.3). Voor beide partijen is het goed om heldere afspraken te maken, die in het verlengde liggen van het eigen privacybeleid.

Het lek ligt bij de verwerker

direct doen

Ontstaat er een datalek bij de in de arm genomen verwerker, dan stelt deze partij uw organisatie als verantwoordelijke hiervan op de hoogte. De verwerker moet dit direct doen nadat hij kennis heeft genomen van een inbreuk waarbij persoonsgegevens zijn betrokken.

Op uw beurt moet uw organisatie ten minste het volgende omschrijven of mededelen aan de AP:

• De aard van de inbreuk op persoonsgegevens (waar mogelijk meldt u de categorieën van betrokkenen en persoonsgegevensregisters, en het liefst ook het aantal betrokkenen en om welke persoonsgegevensregisters het gaat).
• De naam en de contactgegevens van de functionaris voor de gegevensbescherming (FG) of een ander contactpersoon bij wie de AP meer informatie kan opvragen.
• De waarschijnlijke gevolgen van de inbreuk (het gaat dan om de gevolgen op het gebied van persoonsgegevens).
• De maatregelen die uw organisatie heeft voorgesteld of genomen om het datalek aan te pakken, evenals de eventuele maatregelen die zijn genomen om de mogelijke nadelige gevolgen te beperken.

in meerdere stappen

Als het niet mogelijk is om alle genoemde informatie gelijktijdig aan de AP te verstrekken, mag u dat in meerdere stappen doen. Dit is echter alleen toegestaan als er hierdoor geen sprake is van onredelijke vertraging.