Datalek! Melden aan betrokkenen?

Groot datalek bij De Persgroep!

Breaking news bij de Persgroep. Er is een groot datalek geconstateerd door een hack, waarbij naast e-mailadressen ook bankrekeningnummers en woonadressen zijn gestolen. De Persgroep heeft de Autoriteit Persoonsgegevens geïnformeerd. Ook heeft zij betrokkenen geïnformeerd.

Dat heeft het de voorkeur van de Autoriteit Persoonsgegevens (AP). De AP wijst erop dat zij het liefste ziet dat de melding zo snel mogelijk gedaan wordt via de website van de AP en dat daarna pas het onderzoek van de Verantwoordelijke start. Dus niet andersom. Zo nodig kun je de melding intrekken, zegt de AP.

De Persgroep had in dit geval niet alle betrokkene zelf geïnformeerd. Een deel had zij telefonisch geïnformeerd. een ander deel per e-mail en de overige kregen een brief.

In sommige gevallen is een melding aan betrokkene niet nodig. De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) bepaalt hierover het volgende. De melding is niet nodig als er passende technische en organisatorische beschermingsmaatregelen zijn genomen. Of als er achteraf maatregelen genomen zijn waarmee de vastgestelde risico’s voor betrokkenen zijn weggenomen. Evenmin is die melding vereist als die mededeling aan betrokkenen onevenredig veel inspanning zou kosten. Dan kan een melding aan betrokkenen dus achterwege blijven. In dat laatste geval kun je met een melding op de website volstaan.

Is dat altijd zo? Nee, de AP kan verlangen – na ontvangst van de melding bij AP –  dat alle betrokkenen alsnog geïnformeerd worden.

Zie voor meer informatie:

https://www.linkedin.com/feed/update/urn:li:activity:6420552884945068032