Is er een meldplicht voor datalekken?

Een datalek moet worden gemeld aan de AP als er (ernstige) risico’s zijn voor de rechten en vrijheden van de betrokken personen. Het niet melden van een datalek vormt een overtreding van de AVG. Een datalek moet door de verwerkingsverantwoordelijke uiterlijk 72 uur nadat hij er kennis van heeft genomen gemeld worden aan de AP. Gebeurt dit later dan 72 uur, dan moet de melding vergezeld worden door een motivering voor vertraging. Als het datalek een hoog risico met zich meebrengt voor de rechten en vrijheden van degene wiens persoonsgegevens het betreffen, de betrokkene, moet de verwerkingsverantwoordelijke de inbreuk ook aan deze persoon meedelen. De betrokkene hoeft niet ingelicht te worden wanneer: Er passende technische en organisatorische beschermingsmaatregelen genomen zijn en deze zijn toegepast waardoor de persoonsgegevens onbegrijpelijk zijn voor onbevoegden.