Ook wanneer privacy in uw organisatie een speerpunt is, valt niet uit te sluiten dat zich situaties voordoen, waarbij er een inbreuk is op de beveiliging van persoonsgegevens. Sinds 1 januari 2016 bent u op basis van de Wet bescherming persoonsgegevens (wbp) onder omstandigheden verplicht om een dergelijk incident (ook wel ‘datalek’ genoemd) te melden aan de Autoriteit Persoonsgegevens (AP). Ook de algemene verordening gegevensbescherming (AVG), welke per 25 mei 2018 van toepassing is, kent een soortgelijke verplichting en gaat zelfs iets verder.
Op basis van de AVG dient er altijd een melding te worden gedaan bij de AP, tenzij er kan worden aangetoond dat het onwaarschijnlijk is dat de inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt. Onder omstandigheden dient er niet enkel een melding te worden gedaan aan de AP, maar dienen ook die personen op wiens gegevens de inbreuk betrekking heeft, te worden geïnformeerd.
Indien zich binnen uw organisatie een inbreuk voordoet, dient u snel in actie te komen. De AVG schrijft namelijk voor dat u de AP onverwijld en waar mogelijk niet later dan 72 uur nadat u van de situatie op de hoogte bent informeert. Het melden van een inbreuk kan via het volgende formulier.
Zoals ik aan het begin van dit bericht heb opgemerkt, hoeft niet elke inbreuk aan de AP te worden gemeld. Wel dient elke inbreuk, dus ook diegene die u niet aan de AP hoeft te melden, door u te worden gedocumenteerd. Mocht u zich na een inbreuk op de beveiliging afvragen of er sprake is van een situatie welke meldingsplichtig is, dan voorzien de advocaten van ons kantoor u graag van advies.