Melding van datalekken
De wettelijke verplichting om datalekken binnen vastgestelde termijnen te melden aan toezichthoudende autoriteiten en getroffen personen.
Melding van datalekken is de verplichting voor organisaties om relevante autoriteiten en getroffen personen te informeren wanneer een inbreuk op persoonsgegevens optreedt. Onder de GDPR moeten verwerkingsverantwoordelijken de toezichthoudende autoriteit binnen 72 uur na kennisneming van een inbreuk op de hoogte stellen wanneer deze een risico vormt voor de rechten en vrijheden van individuen (Artikel 33). Als de inbreuk waarschijnlijk een hoog risico met zich meebrengt, moet de verwerkingsverantwoordelijke ook de getroffen personen zonder onredelijke vertraging informeren (Artikel 34). De melding moet de aard van de inbreuk beschrijven, het geschatte aantal getroffen personen en dossiers, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken.
Andere regelgevingen hebben wisselende meldingsvereisten. De CCPA vereist melding aan getroffen inwoners van Californië als hun niet-versleutelde persoonsgegevens zijn gecompromitteerd. PIPEDA vereist melding aan de Privacy Commissioner van Canada en getroffen personen bij inbreuken die een reëel risico op significante schade creëren. De Braziliaanse LGPD vereist melding aan de ANPD en betrokkenen bij inbreuken die risico of schade kunnen veroorzaken. Organisaties die in meerdere rechtsgebieden opereren moeten de strengste toepasselijke meldingsvereisten volgen en naleven.