Moet een datalek als gevolg van ransomware altijd aan betrokkenen worden gemeld?

Als een organisatie door een beschermingsmaatregelen als encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk heeft gemaakt voor onbevoegden, dan kan de melding aan de betrokkenen eventueel achterwege blijven. Bij twijfel over de adequaatheid van de technische beschermingsmaatregelen die zijn getroffen moet het datalek echter wel worden gemeld aan de betrokkenen. Zijn de gegevens door de ransomware niet meer toegankelijk en is er geen back-up voorhanden, dan moet dit mogelijk wél aan de betrokkenen worden gemeld. In dat geval is namelijk sprake van verlies van persoonsgegevens, ook als de gegevens encrypted waren.
Voor de beoordeling of het datalek aan de betrokkenen moet worden gemeld zijn de criteria in de Beleidsregels meldplicht datalekken behulpzaam. De betrokkenen moeten worden geïnformeerd als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
Word pro

Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.