Antwoord
Er is sprake van een inbreuk in verband met persoonsgegevens wanneer de gegevens waarvoor uw onderneming/organisatie verantwoordelijk is het onderwerp worden van een beveiligingsincident waardoor de vertrouwelijkheid, beschikbaarheid of integriteit wordt geschonden. Als dat gebeurt en het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico vormt voor de rechten en vrijheden van personen, moet uw onderneming/organisatie de toezichthoudende autoriteit daarvan onverwijld, en niet meer dan 72 uur nadat u er kennis van hebt genomen, op de hoogte stellen van de inbreuk. Als uw onderneming/organisatie een gegevensverwerker is, moet zij elke inbreuk in verband met persoonsgegevens aan de verwerkingsverantwoordelijke melden.
Indien de inbreuk in verband met persoonsgegevens een groot risico inhoudt voor de betrokkenen, moeten zij ook allemaal worden geïnformeerd, tenzij er doeltreffende technische en organisatorische beschermingsmaatregelen zijn getroffen, of andere maatregelen die ervoor zorgen dat het risico niet langer tot stand kan komen.
Als onderneming/organisatie is het van vitaal belang om passende technische en organisatorische maatregelen te treffen om mogelijke inbreuk in verband met persoonsgegevens te voorkomen.
Voorbeelden
Organisatie moet de gegevensbeschermingsautoriteit en personen in kennis stellen
De gegevens van de werknemers van een textielbedrijf zijn openbaar gemaakt. De gegevens bestaan uit de persoonlijke adressen, de gezinssamenstelling, het maandloon en medische claims van alle werknemers. In dat geval moet het textielbedrijf de toezichthoudende autoriteit op de hoogte brengen van de inbreuk. Omdat de persoonsgegevens gevoelige gegevens omvatten, zoals gezondheidsgegevens, moet het bedrijf ook de medewerkers op de hoogte brengen.
Een ziekenhuismedewerker besluit de gegevens van patiënten op een cd te kopiëren en publiceert die gegevens online. Het ziekenhuis ontdekt dat na enkele dagen. Zodra het ziekenhuis dit heeft ontdekt, heeft het 72 uur om de toezichthoudende autoriteit te informeren en, aangezien de persoonsgegevens gevoelige informatie betreffen zoals of een patiënt kanker heeft, zwanger is enz., moet het ook de patiënten informeren. In dat geval kan betwijfeld worden of het ziekenhuis wel de passende technische en organisatorische beschermingsmaatregelen heeft getroffen. Als het ziekenhuis inderdaad de passende beschermingsmaatregelen had getroffen (bijvoorbeeld door de gegevens te versleutelen), zou er waarschijnlijk geen materieel risico tot stand zijn gekomen en diende het ziekenhuis de patiënten niet te informeren.
Bedrijf moet klanten op de hoogte stellen en kan vervolgens verplicht zijn om de gegevensbeschermingsautoriteit en personen op de hoogte te stellen
Een clouddienst verliest verschillende harde schijven met persoonsgegevens van meerdere klanten. De clouddienst moet die klanten op de hoogte stellen zodra hij kennis heeft van de inbreuk. De klanten moeten de gegevensbeschermingsautoriteit van de inbreuk op de hoogte stellen en, afhankelijk van de gegevens die door de gegevensverwerker werden verwerkt, de betrokkenen.
Referenties
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.