De meldplicht inbreuk in verband met persoonsgegevens

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten/klanten bedient? In dat geval verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt de meldplicht ter zake een inbreuk in verband met persoonsgegevens (hierna ook: “een inbreuk”) besproken.

Met enige regelmaat verschijnen in het nieuws berichten over (bekende) bedrijven waar (grote) inbreuken, beter bekend als datalekken, hebben plaatsgevonden. Onlangs nog bijvoorbeeld bij Randstad. Wat is een inbreuk precies en wat moet een verwerkingsverantwoordelijke doen als een inbreuk wordt ontdekt?

Inbreuk

Volgens de AVG is een inbreuk in verband met persoonsgegevens een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Een inbreuk is een vorm van een beveiligingsincident. De AVG is alleen van toepassing indien het beveiligingsincident een inbreuk bevat in verband met persoonsgegevens. Als gevolg van een dergelijke inbreuk kan de verwerkingsverantwoordelijke niet voldoen aan zijn verplichtingen op grond van de AVG.

Een inbreuk kan (aanzienlijke) gevolgen hebben voor een betrokkene in de vorm van materiële of immateriële schade. De AVG noemt een waslijst aan risico’s op, waaronder de beperking van rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen of verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens.

In beginsel moet een verwerkingsverantwoordelijke zo snel mogelijk, in ieder geval binnen 72 uur, nadat hij kennis heeft genomen van een inbreuk dit melden aan de Autoriteit Persoonsgegevens. Dit hoeft niet indien het niet aannemelijk is dat een van de risico’s, zoals hiervoor genoemd, zich zal openbaren. Is het niet alleen aannemelijk dat de risico’s voor een betrokkene ontstaan, maar wordt dit risico ook hoog geacht, dan moet óók de betrokkene worden geïnformeerd.

Meldloket

De Autoriteit Persoonsgegevens heeft een speciaal meldloket waar een melding kan worden gedaan. Hierin staat een digitaal formulier waarin alle relevante informatie kan worden opgenomen. Het is mogelijk dit formulier deels in te vullen en later aan te vullen.

In verband met inbreuken is het van belang dat een verwerkingsverantwoordelijke relevante technische en organisatorische maatregelen neemt om een inbreuk daadwerkelijk en zo snel mogelijk te kunnen constateren.

Tot slot

Met deze blog hebben wij u een beknopte toelichting willen geven over de meldplicht in verband met inbreuken. Het is aan te raden een protocol op te stellen waarin staat opgenomen welke acties moeten worden ondernomen indien sprake is van een beveiligingsincident en een (mogelijke) inbreuk. Op deze manier kan snel en adequaat worden gereageerd, om zo de (mogelijke) schadelijke gevolgen tot een minimum te kunnen beperken.

Heeft u vragen over inbreuken in verband met persoonsgegevens, (het opstellen of beoordelen van) een protocol in verband met inbreuken en/of de AVG? Wij beantwoorden deze graag. Neem in dat geval contact op met onze sectie Privacyrecht.