Er is sprake van een datalek als door een inbreuk op de beveiliging, vertrouwelijke gegevens verloren kunnen zijn gegaan. Of als niet uitgesloten is dat deze door onbevoegden zijn verwerkt, binnen of buiten de beschermde omgeving van de service provider.

Voorbeelden: een USB-stick of pc op straat, inbreuk door een hacker, diefstal van dossiers, fout van een medewerker. Ook kan een andere partij of gegevensbewerker melden dat uw gegevens zijn gelekt.

Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens. Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?

U moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72uur na de ontdekking van het datalek.

De wet geeft aan dat u een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Uw melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld, een gelekt wachtwoord te vervangen.