Deel 2: wanneer meld je waar? Bij een datalek lopen vaak meerdere klokken tegelijk.
Autoriteit Persoonsgegevens (AP) — 72 uur
De verwerkingsverantwoordelijke meldt een datalek bij de AP binnen 72 uur nadat hij of zij bekend is met het lek — tenzij het lek waarschijnlijk geen risico inhoudt voor rechten en vrijheden. Melding via het meldformulier van de AP (externe link).
Onvolledige eerste melding mag — werk bij zodra je meer weet. Late of geen melding kan handhaving uitlokken.
NCSC — NIS2 / Cybersecuritybeveiligingswet
Onder NIS2 en de Cbw kunnen essentiële en belangrijke entiteiten vroegtijdig moeten melden bij het NCSC (vaak genoemd: binnen circa 24 uur na bekendwording van een significant incident — check je sectorale invulling).
Twijfel over scope? Leg de inschatting vast en schakel je adviseur in — zie ook NIS2 compliance.
Betrokkenen informeren
Bij waarschijnlijk hoog risico voor rechten en vrijheden moeten betrokkenen doorgaans worden geïnformeerd — helder, begrijpelijk, zonder onnodig jargon. Inhoud: zie inhoud melding en register.
Contractpartners en verwerkers
Verwerkers melden aan de verwerkingsverantwoordelijke; ketenpartners volgens SLA en verwerkerscontracten. Vergeet cloud- en SOC-leveranciers niet.
Volgende: inhoud meldingen · overzicht