Een datalek is een zeer ernstige incident met mogelijk ernstige gevolgen voor zowel het bedrijf als de betrokken personen. Uw bedrijf moet de toezichthoudende autoriteit onverwijld en uiterlijk binnen 72 uur nadat het kennis heeft genomen van de inbreuk, hiervan op de hoogte stellen. Als uw bedrijf een gegevensverwerker is, moet het ook elk gegevenslek melden aan de gegevenscontroller.
De melding moet:
- de aard van de inbreuk beschrijven, inclusief waar mogelijk, de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal geaffecteerde persoonsgegevensrecords
- de naam en contactgegevens van de GDPR coordinator melden waar meer informatie kan worden verkregen
- de waarschijnlijke gevolgen van de inbreuk beschrijven
- de maatregelen die zijn genomen of voorgesteld door de verwerkingsverantwoordelijke om het inbreuk in verband met persoonsgegevens aan te pakken beschrijven, inclusief, waar van toepassing, maatregelen om de mogelijke nadelige gevolgen ervan te verzachten.
Indien en voor zover het niet mogelijk is om de informatie tegelijkertijd te verstrekken, kan de informatie zonder onnodige verdere vertraging in fasen worden verstrekt.
Bovendien is de verwerkingsverantwoordelijke verplicht om alle data lekken groot en klein te documenteren, met inbegrip van de effecten ervan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat om de naleving van haar kennisgevingsvereisten voor inbreuken te verifiëren.
Als het datalek een hoog risico vormt voor de betrokken personen, dan moeten de getroffen individuen ook allemaal worden ingelicht, tenzij er effectieve technische en organisatorische beschermingsmaatregelen of andere maatregelen zijn die ervoor zorgen dat het risico zich niet langer zal materialiseren.
