Wanneer moet ik een datalek melden bij de Autoriteit Persoonsgegevens (AP)?

Onder een datalek wordt verstaan elk verlies en elke situatie dat persoonsgegevens in hand terecht (kunnen) komen van mensen die daartoe niet bevoegd zijn. Denk bijvoorbeeld aan een gestolen laptop met persoonsgegevens, een computerhack, maar ook een USB-stick die in de koffie valt.

Een datalek moet gemeld worden aan de AP als die beveiligingsinbreuk ‘leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’.

Alleen als het incident waarschijnlijk ongunstige gevolgen zal hebben voor de betrokkenen moet er ook aan de betrokkenen gemeld worden. Als de gegevens op de gestolen laptop zodanig versleuteld zijn dat een derde deze niet kan openen is er dus geen meldplicht aan de betrokkenen.

Op het niet naleven van de meldplicht kan een forse boete gesteld worden.