Tekstversie beslisboom meldplicht datalekken

  1. Zijn de gegevens die zijn gelekt aan te merken als persoonsgegevens? Voorbeelden: namen, klantnummers, klantprofielen, (e-mail)adressen. 
    Nee: U hoeft geen melding te doen. 
    Ja:
  2. Zijn het uw ‘eigen’ klantgegevens die gelekt zijn? Voorbeelden: de gegevens die een hoster opslaat, of waar een clouddienstverlener toegang tot heeft, zijn gegevens van hun klanten en geen ‘eigen’ gegevens . Deze partijen worden aangemerkt als bewerker. 
    Nee:  U moet het lek melden aan uw klanten. 
    Ja: 
  3. Zijn er persoonsgegevens verloren geraakt of onrechtmatig verwerkt? Voorbeelden: een verloren laptop, een hack, brand in een datacentrum of een oud-werknemer met toegang tot persoonsgegevens. Neem bij twijfel contact met ons op. 
    Nee: U hoeft geen melding te doen. 
    Ja: 
  4. Zijn een groot aantal (kwantitatief) of gevoelige persoonsgegevens (kwalitatief) gelekt? Voorbeelden: meer dan duizend persoonsgegevens of gegevens zoals bankrekeningnummers, inloggegevens, gegevens omtrent gezondheid. Neem bij twijfel contact met ons op. 
    Nee: U hoeft geen melding te doen. 
    Ja:
  5. U moet de toezichthouder uiterlijk op de tweede werkdag na het ontdekken van het datalek in kennis stellen van het datalek. 
    Ja: 
  6. Heeft het datalek waarschijnlijk ongunstige gevolgen voor het privéleven van personen? Hiervan is bijvoorbeeld sprake wanneer er gevoelige persoonsgegevens zijn gelekt of als er een gevaar is voor identiteitsfraude. Neem bij twijfel contact met ons op. 
    Nee : U hoeft alleen een melding te doen aan de toezichthouder. 
    Ja: 
  7. Zijn de gelekte persoonsgegevens op een manier beveiligd zodat ze niet gelezen of gebruikt kunnen worden? Hiervan is bijvoorbeeld sprake wanneer er een goede encryptie is gebruikt. Neem bij twijfel contact met ons op. 
    Nee: U moet naast de toezichthouder ook de getroffen personen in kennis stellen van het datalek.
    Ja:
  8. Is de manier waarop de encryptie ongedaan gemaakt kan worden ook gelekt? 
    Nee: U hoeft alleen een melding te doen aan de toezichthouder.
    Ja: 
  9. U moet naast de toezichthouder ook de getroffen personen in kennis stellen van het datalek.

Voor meer informatie, download de factsheet: impact van de meldplicht datalekken