Antwoord

Er is sprake van een inbreuk in verband met persoonsgegevens wanneer de gegevens waarvoor uw onderneming/organisatie verantwoordelijk is het onderwerp worden van een beveiligingsincident waardoor de vertrouwelijkheid, beschikbaarheid of integriteit wordt geschonden. Als dat gebeurt en het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico vormt voor de rechten en vrijheden van personen, moet uw onderneming/organisatie de toezichthoudende autoriteit daarvan onverwijld, en niet meer dan 72 uur nadat u er kennis van hebt genomen, op de hoogte stellen van de inbreuk. Als uw onderneming/organisatie een gegevensverwerker is, moet zij elke inbreuk in verband met persoonsgegevens aan de verwerkingsverantwoordelijke melden.

Indien de inbreuk in verband met persoonsgegevens een groot risico inhoudt voor de betrokkenen, moeten zij ook allemaal worden geïnformeerd, tenzij er doeltreffende technische en organisatorische beschermingsmaatregelen zijn getroffen, of andere maatregelen die ervoor zorgen dat het risico niet langer tot stand kan komen.

Als onderneming/organisatie is het van vitaal belang om passende technische en organisatorische maatregelen te treffen om mogelijke inbreuk in verband met persoonsgegevens te voorkomen.

Voorbeelden

Organisatie moet de gegevensbeschermingsautoriteit en personen in kennis stellen

De gegevens van de werknemers van een textielbedrijf zijn openbaar gemaakt. De gegevens bestaan uit de persoonlijke adressen, de gezinssamenstelling, het maandloon en medische claims van alle werknemers. In dat geval moet het textielbedrijf de toezichthoudende autoriteit op de hoogte brengen van de inbreuk. Omdat de persoonsgegevens gevoelige gegevens omvatten, zoals gezondheidsgegevens, moet het bedrijf ook de medewerkers op de hoogte brengen.

Een ziekenhuismedewerker besluit de gegevens van patiënten op een cd te kopiëren en publiceert die gegevens online. Het ziekenhuis ontdekt dat na enkele dagen. Zodra het ziekenhuis dit heeft ontdekt, heeft het 72 uur om de toezichthoudende autoriteit te informeren en, aangezien de persoonsgegevens gevoelige informatie betreffen zoals of een patiënt kanker heeft, zwanger is enz., moet het ook de patiënten informeren. In dat geval kan betwijfeld worden  of het ziekenhuis wel de passende technische en organisatorische beschermingsmaatregelen heeft getroffen. Als het ziekenhuis inderdaad de passende beschermingsmaatregelen had getroffen (bijvoorbeeld door de gegevens te versleutelen), zou er waarschijnlijk geen materieel risico tot stand zijn gekomen en diende het ziekenhuis de patiënten niet te informeren.

Bedrijf moet klanten op de hoogte stellen en kan vervolgens verplicht zijn om de gegevensbeschermingsautoriteit en personen op de hoogte te stellen

Een clouddienst verliest verschillende harde schijven met persoonsgegevens van meerdere klanten. De clouddienst moet die klanten op de hoogte stellen zodra hij kennis heeft van de inbreuk. De klanten moeten de gegevensbeschermingsautoriteit van de inbreuk op de hoogte stellen en, afhankelijk van de gegevens die door de gegevensverwerker werden verwerkt, de betrokkenen.

Referenties