Factsheets

  2. Home
  4. Docs
  6. Factsheets
  8. Datalekken
  10. Wanneer moet Het Handje een datalek melden?

Wanneer moet Het Handje een datalek melden?

Wanneer moet Het Handje een datalek melden aan de toezichthouder?
Niet elk datalek moet worden gemeld. De AVG bepaalt dat een datalek aan de toezichthouder gemeld moet worden indien er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Een lek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie:

  • inloggegevens van medewerkers;
  • factuurgegevens van klanten van Het Handje;
  • kopieën van identiteitsbewijzen;
  • gegevens die betrekking hebben op school- of werkprestaties;
  • gegevens die betrekking hebben op levensovertuiging;
  • gegevens die betrekking hebben op gezondheid.

Daarnaast kunnen ook de aard van de organisatie, of de gegevens gepseudonimiseerd zijn en de aard van inbreuk van belang zijn bij de beoordeling.

Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur, aan de toezichthouder gemeld te worden door de verwerkingsverantwoordelijke (Het Handje werkt in alle gevallen als verwerkingsverantwoordelijke). Deze termijn start op het moment dat Het Handje op de hoogte raakt van het datalek. Goede afspraken met leveranciers van Het Handje zijn daarom van groot belang!

Wanneer moet Het Handje een datalek melden aan de getroffen personen (betrokkenen)?
Indien het datalek een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, dient Het Handje – naast de melding aan de toezichthouder – het lek tevens onverwijld te melden aan deze betrokkenen. Een datalek brengt een hoog risico voor betrokkenen teweeg wanneer het privéleven van betrokkenen waarschijnlijk door het lek wordt geschaad. Gevolgen die dan kunnen ontstaan zijn bijvoorbeeld:

  • identiteitsfraude;
  • discriminatie;
  • reputatieschade.

Wanneer kwalitatief ernstige gegevens (zie het vorige kopje) zijn gelekt, is eigenlijk altijd sprake van een hoog risico. Dit moet dus ook altijd worden gemeld aan de getroffen personen.

Wanneer hoeft Het Handje een datalek niet te melden?
Een datalek dat een risico inhoudt voor de rechten en vrijheden van betrokkenen, moet Het Handje altijd melden aan de toezichthouder. Daarbij doet het er niet toe of het datalek per ongeluk of opzettelijk is veroorzaakt. Een datalek hoeft echter niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer Het Handje de gegevens op afstand kan verwijderen van bijvoorbeeld een gestolen laptop.