Mededeling van een datalek aan betrokkenen: wanneer, hoe en wat moet je melden?

Geschreven door Gloria Gomes

Mededeling van een datalek aan betrokkenen: wanneer, hoe en wat moet je melden?

Als privacyjurist krijg ik vaak de vraag wanneer je als organisatie verplicht bent een datalek te melden aan de betrokkenen. De AVG (artikel 34) schrijft voor dat je dit moet doen als het datalek waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van de getroffenen. In deze blog leg ik uit hoe je bepaalt of zo’n risico aanwezig is, wanneer je moet melden, en wat er precies in zo’n melding moet staan.

Wanneer moet een datalek gemeld worden aan betrokkenen?
Volgens artikel 34 AVG moet een datalek worden gemeld aan de betrokkenen als het waarschijnlijk is dat het datalek leidt tot een hoog risico voor hun rechten en vrijheden. Denk aan risico’s op:
Lichamelijke schade
Financiële schade
Reputatieschade
Discriminatie of identiteitsfraude

Voorbeelden waarbij een melding vaak noodzakelijk is:
Het lekken van bijzondere persoonsgegevens (zoals medische gegevens)
Het lekken van strafrechtelijke gegevens
Situaties waarin kwaadwillenden de gegevens vermoedelijk in handen hebben gekregen

Let op: in sommige gevallen hoeft geen melding gedaan te worden aan de betrokkenen.

Hoe beoordeel je of er sprake is van een hoog risico?
De beoordeling van het risico moet objectief plaatsvinden. Dit zijn de belangrijkste factoren die je meeweegt:
Waarschijnlijkheid dat het risico zich voordoet
Ernst van het potentiële effect
Aard van de gegevens die gelekt zijn
Kwetsbaarheid van de betrokkenen (bijvoorbeeld kinderen of patiënten)
Of bekend is wie toegang heeft gekregen tot de data
Of er aanwijzingen zijn dat de data misbruikt zal worden

Deze risicoanalyse vormt de basis van je beslissing om wel of niet te melden aan de betrokkene.

Wanneer moet je de betrokkene informeren?
De betrokkene moet onverwijld worden geïnformeerd, zonder onnodige vertraging. De termijn begint te lopen vanaf het moment dat de verwerkingsverantwoordelijke kennisneemt van het datalek.

Wat moet je in de melding aan betrokkenen zetten?
De AVG (artikel 34 lid 2) stelt duidelijke eisen aan de inhoud van de melding. Deze moet in duidelijke en eenvoudige taal worden geformuleerd en in elk geval bevatten:
Een omschrijving van de aard van het datalek: wat is er gebeurd?
De waarschijnlijke gevolgen voor de betrokkene.
De maatregelen die zijn genomen of voorgesteld om het lek te beperken.
Contactgegevens van een contactpersoon of functionaris voor gegevensbescherming (FG).
Advies aan de betrokkene (indien passend), bijvoorbeeld over het wijzigen van wachtwoorden of alert zijn op phishing.

Hulp nodig van een privacyjurist?
Als privacyjurist help ik bedrijven en organisaties— van MKB tot overheden — met het opstellen van meldingen, risicobeoordelingen en communicatieplannen bij datalekken. Ook beoordeel ik of melding noodzakelijk is.

Wil je zekerheid over jouw aanpak bij een datalek of zoek je een privacyjurist die met je meedenkt? Neem dan vrijblijvend contact met me op.

Gloria Gomes