Menu
JPR Advocaten

Datalek melden en bevoegdheid Autoriteit Persoonsgegevens

U bent al vanaf 1 januari 2016 verplicht om – onder bepaalde omstandigheden – datalekken te melden, dat is onder de Algemene Verordening Persoonsgegevens (AVG) niet anders. Een datalek treedt sneller op dan u denkt: wat dacht u bijvoorbeeld van een USB-stick met persoonsgegevens erop, die u vervolgens in de trein achterlaat? Zo’n 70%(!) van de datalekken wordt veroorzaakt door menselijk handelen. Het volledig voorkomen van een datalek is dan ook vrijwel niet haalbaar. Het creëren van bewustzijn is in ieder geval een stap in de goede richting.

Wanneer moet een datalek gemeld worden?

Het is verstandig u bewust te zijn van wanneer een datalek gemeld moet worden en aan wie. Onder omstandigheden kan het voorkomen dat u een melding van het datalek moet doen aan de Autoriteit Persoonsgegevens (hierna: Autoriteit). Deze melding moet gemaakt worden op het moment dat het datalek mogelijkerwijs kans op onrechtmatige verwerking en ernstige gevolgen voor de betrokkenen met zich meebrengt.

In de wetgeving staat dat een melding onverwijld moet gebeuren. Uit de richtlijn van de Autoriteit blijkt dat dit inhoudt dat binnen 72 uur een melding gemaakt dient te worden. Bovendien kan het zo zijn dat u tevens de betrokkene moet inlichten, op wie de gegevens betrekking hebben. Dit is het geval als de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Denk hierbij aan mogelijke identiteitsfraude of reputatieschade.

Een organisatie moet altijd een register bijhouden met datalekken, ook als het lek niet bij de Autoriteit gemeld hoeft te worden. Dan kunt u als organisatie altijd aan de Autoriteit laten zien wat uw afweging is geweest om een datalek wel of juist niet te melden. In het register legt de organisatie vast hoeveel betrokkenen geraakt worden door het datalek en welk type persoonsgegevens bij het datalek betrokken zijn.

Bevoegdheden Autoriteit

Aangezien de verwerking van persoonsgegevens is onderworpen aan een wettelijk regime, is het ook wenselijk dat er een controlerende en handhavende instantie is. Dat is voor Nederland de Autoriteit . De AVG geeft de Autoriteit handvatten om naleving van de wet af te kunnen dwingen. De Autoriteit kan bijvoorbeeld onaangekondigd een onderzoek instellen. De Autoriteit heeft sinds de invoering van de AVG al diverse onderzoeken ingesteld naar de voorzorgsmaatregelen uit de AVG. Zo heeft de Autoriteit onderzoeken verricht naar de aanstelling van de Functionaris Gegevensbescherming, het bijhouden van het verwerkingsregister en de tussen een verwerker en verwerkingsverantwoordelijke gesloten verwerkersovereenkomsten.

Indien de Autoriteit constateert dat de organisatie zich niet aan de AVG houdt, dan kan de Autoriteit boetes opleggen. Deze boetes zijn niet mis! Het gaat om boetes tot zo’n 20 miljoen euro of 4% van de wereldwijde jaaromzet. Naast het opleggen van de boetes kan de Autoriteit lasten onder dwangsom opleggen. De Autoriteit deed dat al een aantal keer sinds de invoering van de AVG in 2018.

Advies privacywetgeving nodig?

Bent u niet zeker of u een datalek heeft? Wellicht bent u onzeker of u dit lek moet melden? JPR Advocaten beschikt over ruime expertise en kennis op het gebied van de AVG en privacywetgeving. Wij kunnen u op korte termijn adviseren over de maatregelen die u moet nemen. Maar ook wanneer u een betrokkene bent en meent dat uw privacy wordt geschonden, kunnen wij u helpen hiertegen op te treden, bijvoorbeeld via een klacht aan de Autoriteit. Schroom niet om contact op te nemen met één van onze advocaten.

Meer weten over onze dienstverlening?
Neem contact op
Alle advocaten binnen het rechtsgebied Privacyrecht
Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: