Een lezer vroeg me:
De laatste tijd zijn er verschillende datalekken in het nieuws gekomen waarbij gedupeerden pas weken later werden gewaarschuwd. Ik weet dat in de AVG een meldplicht binnen 72 uur bij de AP geldt voor organisaties, maar waarom is er niet ook zo’n harde deadline voor getroffen personen?
De AVG eist (artikel 33) dat datalekken “zonder onredelijke vertraging” worden gemeld bij de toezichthouder. Om te voorkomen dat mensen te lang dralen, staat er ook een harde deadline van uiterlijk 72 uur na ontdekking bij. Maar wie dan nog niet alles weet, mag een gedeeltelijke melding maken.
De rationele achter deze harde deadline is dat de toezichthouder zo vanaf het begin mee kan kijken en waar nodig aanwijzingen kan geven. Door dat vroeg in het proces te doen, is er nog ruimte voor sturing, kan bewijs nog worden gevorderd enzovoorts.
Naast deze meldplicht bestaat er ook een mededelingsplicht aan getroffen betrokkenen (artikel 34). Deze mededeling moet ‘onverwijld’ gebeuren, maar hier staat geen hard getal bij. De reden om ook dit zo snel mogelijk te laten gebeuren is natuurlijk dat je dan maatregelen kunt nemen zoals je wachtwoorden wijzigen.
Bij deze mededelingsplicht is geen harde termijn genoemd. De AVG geeft daar geen expliciete reden voor. Vermoedelijk is de gedachte geweest dat betrokkenen weinig hebben aan halve informatie, en dat je in die eerste 72 uur vaak nog bezig bent met dingen oplossen. Het is dan denkbaar dat even wachten beter is.
Het is echter niet zo dat je, omdat er geen hard getal staat, je mag wachten tot je een keer zin hebt om te melden. ‘Onverwijld’ is hoe dan ook zo snel mogelijk, en als het weken duurt dan kan de toezichthouder je daar echt voor op de vingers tikken. Lid 4 biedt zelfs expliciet de optie om je te sommeren per direct iedereen te informeren.
Arnoud
