Een datalek is een zeer ernstig incident met mogelijk ernstige gevolgen voor zowel het bedrijf als de betrokken personen.
Uw bedrijf moet de toezichthoudende autoriteit informeren zonder onnodige vertraging, en uiterlijk binnen 72 uren nadat het kennis heeft gekregen van de inbreuk. Als uw bedrijf een gegevensverwerker is, moet het tevens elk gegevenslek melden aan de gegevenscontroller.
Als het datalek een hoog risico op fysieke, materiële of immateriële schade voor de betrokken personen met zich meebrengt, moeten deze ook allemaal worden geïnformeerd, tenzij er effectieve technische (bijv. sterke gegevensversleuteling) en organisatorische beschermingsmaatregelen zijn (bijv. verlopen sleutels) die zijn ingevoerd, of andere maatregelen die ervoor zorgen dat het risico niet langer zal optreden.
Elke evaluatie van het risico voor de rechten en vrijheden van het individu moet objectief zijn en rekening houden met zowel de waarschijnlijkheid als de ernst. Er moet rekening worden gehouden met de aard, gevoeligheid en omvang van de persoonsgegevens, het gemak van identificatie binnen de gelekte gegevens, de ernst van de gevolgen en kenmerken van de getroffen persoon, waarbij bijzondere aandacht moet worden besteed waar een inbreuk gevolgen kan hebben voor kinderen of andere kwetsbare individuen. Wanneer de inbreuk betrekking heeft op persoonsgegevens die raciale of etnische afkomst, politieke mening, religie of filosofische overtuigingen of vakbondslidmaatschap onthullen, of genetische gegevens, gegevens over gezondheid of gegevens over het seksleven of strafrechtelijke veroordelingen omvat, moet dergelijke schade als waarschijnlijk worden beschouwd optreden.
