Wanneer hoeft er geen melding te worden gedaan?
Een datalek die ' kwalitatief ernstig' (d.i. privacy-gevoelige gegevens) is, moet altijd worden gemeld aan de toezichthouder.Daarbij is het niet van belang of het datalek door een fout kwam of het gevolg was van overmacht.
Een datalek hoeft echter niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer de gegevens op afstand kunnen worden verwijderen van bijvoorbeeld een gestolen laptop. U moet er dan wel zeker van zijn dat niemand de gegevens heeft kunnen inzien. U draagt hiervoor de bewijslast. De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/of de getroffen
personen, ligt altijd bij de eigenaar of beheerder van het databestand. Als deze een onjuiste inschatting maakt van de noodzaak of plicht om een melding te doen, riskeert deze een boete.
Een datalek hoeft echter niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer de gegevens op afstand kunnen worden verwijderen van bijvoorbeeld een gestolen laptop. U moet er dan wel zeker van zijn dat niemand de gegevens heeft kunnen inzien. U draagt hiervoor de bewijslast. De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/of de getroffen
personen, ligt altijd bij de eigenaar of beheerder van het databestand. Als deze een onjuiste inschatting maakt van de noodzaak of plicht om een melding te doen, riskeert deze een boete.
Pro-abonnees downloaden gratis het Ebook met 75 vragen en antwoorden over Digitale beveiliging.