Melding datalek aan betrokkene Het model invullen

Hoe werkt het?

1. Dit model kiezen

Klik eerst op "Het model invullen"

1 / Dit model kiezen

2. Het document invullen

Beantwoord een paar vragen en het document wordt automatisch aangemaakt.

2 / Het document invullen

3. Opslaan - Afdrukken

Uw document is klaar! U ontvangt het in de formaten Word en PDF. U kunt het bewerken.

3 / Opslaan - Afdrukken

Melding datalek aan betrokkene

Laatste revisie Laatste revisie 25-09-2024
Formaten FormatenWord en PDF
Grootte Grootte1 pagina
Het model invullen

Laatste revisieLaatste revisie: 25-09-2024

FormatenBeschikbare formaten: Word en PDF

GrootteGrootte: 1 pagina

Het model invullen

Wat is een melding datalek aan betrokkene?

Een melding datalek aan betrokkene kan gebruikt worden door een verwerkingsverantwoordelijke, om een betrokken persoon op de hoogte te brengen van een datalek. De verwerkingsverantwoordelijke is een natuurlijk persoon, rechtspersoon, overheidsinstantie, of een ander orgaan dat persoonsgegevens voor een bepaald doel verwerkt. Een betrokken persoon is een persoon van wie de persoonsgegevens gelekt zijn.

Verwerking van persoonsgegevens is iedere soort handeling (bv. verzamelen, opslaan, analyseren) met gegevens die een bepaald persoon kunnen identificeren. Een persoon kan direct geïdentificeerd worden indien bijvoorbeeld de naam wordt verwerkt, maar een persoon kan ook indirect geïdentificeerd worden, door bijvoorbeeld een telefoonnummer te verwerken.


Wanneer is er sprake van een datalek?

Er is sprake van een datalek wanneer door een beveiligingsincident persoonsgegevens ongewenst gewist, verloren, gewijzigd, aan anderen verstrekt of doorgezonden worden of dat personen toegang hebben tot de persoonsgegevens, terwijl zij dit niet behoren te hebben. Dit wordt ook wel een inbreuk in verband met persoonsgegevens genoemd.

Een datalek kan bijvoorbeeld plaatsvinden bij een cyberaanval op een systeem waar persoonsgegevens verwerkt worden, of door een gestolen USB-stick die niet versleuteld is en waarop persoonsgegevens opgeslagen staan.


Moet de Autoriteit Persoonsgegevens worden geïnformeerd over een datalek?

In sommige gevallen moet een datalek door de verwerkingsverantwoordelijke gemeld worden aan de Autoriteit Persoonsgegevens. Of een datalek gemeld moet worden, hangt af van het risico op schade. Dit moet door de verwerkingsverantwoordelijke ingeschat worden. Voor een lijst met voorbeelden van gevallen waarin een datalek gemeld moet worden aan de Autoriteit Persoonsgegevens kan de website van de Autoriteit Persoonsgegevens geraadpleegd worden.

Het melden van een datalek kan via het meldformulier voor datalekken.


Wanneer moet een betrokkene van een datalek worden geïnformeerd?

In het geval dat de rechten en vrijheden van een betrokken persoon van wie de persoonsgegevens gelekt zijn, een hoog risico lopen door het datalek, dient de verwerkingsverantwoordelijke ook melding te doen van het datalek aan de betrokkene. Van een hoog risico is sprake indien het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. Voorbeelden hiervan zijn te vinden op de website van de Autoriteit Persoonsgegevens.

Indien er geen hoog risico is voor de betrokken personen, hoeven deze niet ingelicht te worden over het datalek. De Autoriteit Persoonsgegevens kan in dat geval alsnog ingelicht moeten worden.


Wat moet er gedaan worden nadat een melding van een datalek aan een betrokkene is opgesteld?

Nadat de brief is opgesteld, moet deze ondertekend worden door de verwerkingsverantwoordelijke en worden verstuurd naar de betrokkene. Het is verstandig dit per aangetekende brief te doen, zodat er altijd bewezen kan worden dat de brief verstuurd is en deze is ontvangen. Het is ook mogelijk dit per e-mail te doen. Een handige manier om te weten of de brief is ontvangen, is om te vragen om een ontvangstbevestiging. Als de ontvangst van de brief niet wordt bevestigd, is het verstandig alsnog een aangetekende brief te versturen.

Naast het inlichten van de betrokkene moet er gekeken worden of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens.


Wat moet een melding van een datalek aan een betrokkene bevatten?

Een melding van een datalek moet de volgende informatie bevatten:

  • De aard van de inbreuk (wat voor soort datalek heeft plaatsgevonden);
  • De naam en contactgegevens van een contactpersoon, bij wie meer informatie verkregen kan worden met betrekking tot het datalek;
  • De waarschijnlijke gevolgen van het datalek voor de betrokkene;
  • De maatregelen die de betrokkene kan nemen om de nadelige gevolgen van het datalek te beperken.


Welke wetten zijn van toepassing op een melding datalek aan betrokkene?

Op een melding datalek aan een betrokkene zijn Verordening (EU) 2016/679 van het Europees Parlement en de Raad (algemene verordening gegevensbescherming) en Uitvoeringswet Algemene verordening gegevensbescherming van toepassing.


Het model bewerken?

U vult een formulier in. Het document wordt naargelang uw antwoorden per sectie opgemaakt.

Aan het einde ontvangt u het in de formaten Word en PDF. U kunt het bewerken en het opnieuw gebruiken.

Het model invullen