U bent hier

7.3 Betrokkenen inlichten

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

hoog risico

In sommige gevallen is uw organisatie verplicht om de personen in te lichten van wie de persoonsgegevens bij het datalek bloot zijn komen te liggen. Dat is het geval als het lek een hoog risico voor de rechten en vrijheden van mensen betekent voor degene van wie de persoonsgegevens zijn gelekt.

Melding aan betrokkenen

omschrijving

De melding ter informering van de betrokkenen bij het datalek bevat een omschrijving in duidelijke en eenvoudige taal. In deze omschrijving staat de aard van de inbreuk en ten minste de gegevens en maatregelen die zijn beschreven in artikel 33 van de AVG.

Zo moet u een contactpersoon noemen bij wie de betrokkenen meer informatie kunnen opvragen en bent u verplicht mede te delen wat de waarschijnlijke gevolgen van het datalek voor de betrokkenen zijn.

Niet altijd verplicht

ontoegankelijk maken

niet meer zal voordoen

De genoemde melding aan de betrokkenen is niet altijd verplicht. Uw organisatie hoeft een datalek bij wijze van uitzondering niet aan de gedupeerden te melden als aan één van de volgende voorwaarden is voldaan:

  • Uw organisatie heeft passende technische en organisatorische beveiligingsmaatregelen genomen en deze zijn toegepast op de persoonsgegevens die bij het datalek betrokken zijn. Het gaat dan met name om het ontoegankelijk maken van de persoonsgegevens voor onbevoegden, bijvoorbeeld met versleuteling.
  • Uw organisatie heeft als verantwoordelijke achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen.
  • De melding aan de betrokkenen zou onevenredige inspanningen van uw organisatie vergen, bijvoorbeeld als het om duizenden klanten gaat. In dat geval komt er een openbare mededeling of een soortgelijke maatregel waarbij alle betrokkenen even doeltreffend worden geïnformeerd. Dit kan bijvoorbeeld via een bericht op de website gebeuren.

alsnog meldplicht

Als uw organisatie als verantwoordelijke de inbreuk (terecht) nog niet heeft gemeld aan de betrokkenen, kan de AP alsnog beslissen dat er sprake is van deze meldplicht aan de gedupeerden.