Wanneer moet Het Handje een datalek melden?

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen

Een organisatie moet een datalek melden bij de Autoriteit Persoonsgegevens (AP) wanneer er sprake is van een inbreuk op de beveiliging van persoonsgegevens. Dit betekent dat persoonsgegevens, zoals naam, adres of geboortedatum, in handen zijn gekomen van iemand die geen toegang tot deze gegevens had mogen hebben. Een datalek kan bijvoorbeeld ontstaan door hacking, diefstal van een laptop met persoonsgegevens of het versturen van een e-mail naar de verkeerde ontvanger.

De AP moet worden ingelicht over het datalek wanneer er een risico bestaat voor de privacy van de betrokken personen. Dit is het geval als het lek kan leiden tot identiteitsfraude, discriminatie, reputatieschade of financiële schade voor de betrokkenen. De organisatie moet de melding doen binnen 72 uur nadat zij op de hoogte is gekomen van het datalek.

Het is belangrijk om te weten dat niet alle datalekken gemeld hoeven te worden. Een organisatie hoeft alleen te melden als er een hoog risico is voor de privacy van betrokkenen. De organisatie moet zelf beoordelen of er sprake is van een hoog risico. Als een organisatie twijfelt, kan zij contact opnemen met de AP voor advies.

Twee voorbeelden van situaties waarbij er sprake is van een hoog risico voor de privacy van betrokkenen

  1. Stel je voor dat een ziekenhuis te maken heeft met een datalek waarbij persoonsgegevens van patiënten zijn gestolen. Dit kan bijvoorbeeld gebeuren doordat een hacker toegang heeft gekregen tot het elektronische patiëntendossier. Het kan bij een ziekenhuis gaan om gevoelige informatie zoals medische dossiers, diagnosegegevens en behandelinformatie. Als deze informatie in verkeerde handen valt, kan dit leiden tot identiteitsfraude, discriminatie, reputatieschade en/of ernstige gevolgen voor de gezondheid van de betrokkenen. Dit is een voorbeeld van een situatie waarbij er sprake is van een hoog risico voor de privacy van betrokkenen en een melding bij de AP verplicht is.
  2. Een ander voorbeeld is wanneer een webwinkel slachtoffer wordt van een datalek waarbij persoonsgegevens van klanten zijn gestolen. Het kan hierbij bijvoorbeeld gaan om namen, adressen, e-mailadressen en/of betaalgegevens. Als deze gegevens in handen vallen van een hacker, kunnen de betrokken klanten slachtoffer worden van phishing of identiteitsfraude. Dit kan financiële schade en reputatieschade veroorzaken. In dit geval is het ook verplicht om het datalek bij de AP te melden.
Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Wanneer_moet_Het_Handje_een_datalek_melden%3F&oldid=40"