Sinds 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken of onbevoegd gebruik van persoonsgegevens telt als een datalek.
Onder de AVG blijft dit ongewijzigd. Daarnaast zijn er consequenties verbonden aan het lekken van data. De AVG stelt boetes die kunnen oplopen tot 10 miljoen euro of 2% van de jaaromzet per overtreding.
Er is sprake van een datalek wanneer persoonsgegevens verloren raken of een onrechtmatige verwerking van deze gegevens niet kan worden uitgesloten. Onder een onrechtmatige verwerking kan onder meer het aanpassen en veranderen van, of onbevoegde toegang tot persoonsgegevens worden verstaan. Het gaat om een brede definitie: er is niet alleen sprake van een datalek als een hacker toegang tot de persoonsgegevens krijgt. Ook verlies van USB-sticks of een e-mail met de adressen in het CC-veld in plaats van het BCC-veld, telt als datalek.
Zoals hiervoor is beschreven moet het gaan om een lek waarbij persoonsgegevens zijn betrokken. Een persoonsgegeven is informatie over een natuurlijk persoon. Een hack waarbij gegevens over bedrijven of technische informatie wordt gestolen kan niet worden aangemerkt als datalek in de zin van de wet.
Algemene procedure
Let op: binnen 72 uur na ontdekking van het datalek moet de melding bij de Autoriteit Persoonsgegevens gedaan zijn, ongeacht het weekend of vrije dagen.