25-08-2024
Beantwoord een paar vragen en het document wordt automatisch aangemaakt.
Uw document is klaar! U ontvangt het in de formaten Word en PDF. U kunt het bewerken.
25-08-2024
Word en PDF
1 pagina
Een melding datalek aan betrokkene kan gebruikt worden door een verwerkingsverantwoordelijke, om een betrokken persoon op de hoogte te brengen van een datalek. De verwerkingsverantwoordelijke is een natuurlijk persoon, rechtspersoon, overheidsinstantie, of een ander orgaan dat persoonsgegevens voor een bepaald doel verwerkt. Een betrokken persoon is een persoon van wie de persoonsgegevens gelekt zijn.
Verwerking van persoonsgegevens is iedere soort handeling (bv. verzamelen, opslaan, analyseren) met gegevens die een bepaald persoon kunnen identificeren. Een persoon kan direct geïdentificeerd worden indien bijvoorbeeld de naam wordt verwerkt, maar een persoon kan ook indirect geïdentificeerd worden, door bijvoorbeeld een telefoonnummer te verwerken.
Er is sprake van een datalek wanneer door een beveiligingsincident persoonsgegevens ongewenst gewist, verloren, gewijzigd, aan anderen verstrekt of doorgezonden worden of dat personen toegang hebben tot de persoonsgegevens, terwijl zij dit niet behoren te hebben. Dit wordt ook wel een inbreuk in verband met persoonsgegevens genoemd.
Een datalek kan bijvoorbeeld plaatsvinden bij een cyberaanval op een systeem waar persoonsgegevens verwerkt worden, of door een gestolen USB-stick die niet versleuteld is en waarop persoonsgegevens opgeslagen staan.
In sommige gevallen moet een datalek door de verwerkingsverantwoordelijke gemeld worden aan de Autoriteit Persoonsgegevens. Of een datalek gemeld moet worden, hangt af van het risico op schade. Dit moet door de verwerkingsverantwoordelijke ingeschat worden. Voor een lijst met voorbeelden van gevallen waarin een datalek gemeld moet worden aan de Autoriteit Persoonsgegevens kan de website van de Autoriteit Persoonsgegevens geraadpleegd worden.
Het melden van een datalek kan via het meldformulier voor datalekken.
In het geval dat de rechten en vrijheden van een betrokken persoon van wie de persoonsgegevens gelekt zijn, een hoog risico lopen door het datalek, dient de verwerkingsverantwoordelijke ook melding te doen van het datalek aan de betrokkene. Van een hoog risico is sprake indien het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. Voorbeelden hiervan zijn te vinden op de website van de Autoriteit Persoonsgegevens.
Indien er geen hoog risico is voor de betrokken personen, hoeven deze niet ingelicht te worden over het datalek. De Autoriteit Persoonsgegevens kan in dat geval alsnog ingelicht moeten worden.
Nadat de brief is opgesteld, moet deze ondertekend worden door de verwerkingsverantwoordelijke en worden verstuurd naar de betrokkene. Het is verstandig dit per aangetekende brief te doen, zodat er altijd bewezen kan worden dat de brief verstuurd is en deze is ontvangen. Het is ook mogelijk dit per e-mail te doen. Een handige manier om te weten of de brief is ontvangen, is om te vragen om een ontvangstbevestiging. Als de ontvangst van de brief niet wordt bevestigd, is het verstandig alsnog een aangetekende brief te versturen.
Naast het inlichten van de betrokkene moet er gekeken worden of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens.
Een melding van een datalek moet de volgende informatie bevatten:
Op een melding datalek aan een betrokkene zijn Verordening (EU) 2016/679 van het Europees Parlement en de Raad (algemene verordening gegevensbescherming) en Uitvoeringswet Algemene verordening gegevensbescherming van toepassing.
U vult een formulier in. Het document wordt naargelang uw antwoorden per sectie opgemaakt.
Aan het einde ontvangt u het in de formaten Word en PDF. U kunt het bewerken en het opnieuw gebruiken.
Gidsen om u te helpen
Melding datalek aan betrokkene - model, voorbeeld
Land: Nederland