Ieder datalek moet worden gemeld bij de toezichthouder in de Autoriteit Persoonsgegevens. Dit is alleen niet nodig wanneer het onwaarschijnlijk is dat er risico's zijn voor de privacy van betrokkenen. Deze datalekken moeten dan wel nog steeds worden geregistreerd in het incidentenregister. Er wordt al snel aangenomen dat er sprake is van risico's voor de persoonlijke levenssfeer van mensen.
Via de website Autoriteit Persoonsgegevens kun je een datalek melden. Je kunt deze invullen en bewaren. Je hoeft hem niet meteen te sturen. Vergeet niet dat je het wel binnen 72 uur moet melden. Klik op deze link voor het meldformulier.
Als je een Functionaris Gegevensbescherming hebt, zal die de melding maken.
Let op!
Als je het datalek niet meldt dan kun je een flinke boete krijgen. Doe dit dus altijd!
Wanneer een datalek waarschijnlijk een groot risico voor betrokkenen oplevert, moeten deze slachtoffers van het datalek hierover worden geïnformeerd. De informatie moet dezelfde informatie zijn als die je aan de toezichthouder geeft. Van belang is wel dat je dit in duidelijke en eenvoudige taal meldt aan de betrokkenen, zodat de lezer meteen doorheeft wat dit voor hem kan betekenen. Daarnaast moet ook een advies van wat de betrokkenen zouden kunnen doen om het risico te verminderen in de melding worden genoemd. De melding moet ook zo snel als (redelijkerwijs) mogelijk worden gemaakt. Er zijn twee uitzonderingen op de meldplicht aan betrokkenen.
Als de gegevens zijn versleuteld zodat er geen gebruik van kan worden gemaakt.
Als de gevolgen nul zijn. Bijvoorbeeld het meteen veranderen van gelekte wachtwoorden. De gevolgen zijn dan nul want de wachtwoorden zijn al weer veranderd.