top

Datalek en persoonsgegevens

  /    /    /  Datalek en persoonsgegevens
Navigeer naar
Juridisch advies

Bij Penrose werken privacyrecht advocaten die graag met je meedenken en jouw vragen beantwoorden. De contactgegevens van onze advocaten vind je hier.

Meldplicht bij datalek

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Met de komst van de AVG in 2018 geldt deze eveneens voor alle andere EU-landen. Een datalek wordt omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot persoonsgegevens.

Datalekken moeten bij de Autoriteit Persoonsgegevens  (AP) worden gemeld tenzij het niet waarschijnlijk is dat dit leidt tot een risico voor de privacy van de betrokkenen. Eventuele melding moeten worden gedaan binnen 72 uur nadat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek via het meldloket van de AP.

Het datalek moet daarnaast ook aan de persoon of personen wiens persoonsgegevens het betreffen te worden gemeld, indien het waarschijnlijk is dat het datalek een hoog risico voor de privacy van die persoon of personen inhoudt. Hiervan is bijvoorbeeld sprake indien de dreiging van discriminatie, identiteitsdiefstal of –fraude of financieel verlies bestaat, of wanneer speciale categorieën persoonsgegevens (zoals gegevens omtrent etnische afkomst, religie, gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen) zijn gelekt.

Registratieplicht bij datalek

Afgezien van de meldplicht introduceerde de AVG tevens een registratieplicht voor datalekken. Alle (dus ook niet gemelde) datalekken binnen een organisatie dienen te worden gedocumenteerd. Op verzoek moet de Autoriteit Persoonsgegevens ook inzage in dit register worden gegeven. Deze registratieverplichting vormt weer onderdeel van het ‘accountability‘ principe van de verwerkingsverantwoordelijke.

Aansprakelijkheid bij datalekken

Indien de verwerkingsverantwoordelijke een datalek ten onrechte niet, of niet tijdig heeft gemeld, kan de Autoriteit Persoonsgegevens onder meer een boete opleggen.

Een persoon wiens persoonsgegevens zijn gelekt en daardoor schade heeft geleden, kan recht hebben op een schadevergoeding jegens de verwerkingsverantwoordelijke. Indien het datalek is ontstaan door of bij de verwerker, kan de betrokken persoon zowel de verwerkingsverantwoordelijke als de verwerker aansprakelijk stellen voor de schade.

De verwerkingsverantwoordelijke en de verwerken kunnen onderling, bijvoorbeeld in de verwerkersovereenkomst, een andere aansprakelijkheidsverdeling met beperkingen of –uitsluitingen overeenkomen.

Advocaat datalek

Bij Penrose werken advocaten, gespecialiseerd in datalekken, die graag met je meedenken en jouw vragen beantwoorden. De contactgegevens van onze privacy specialist vind je hier.