Jurisprudentie Documenten

Artikel 33 - Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

  • 1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
  • 2. De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
  • 3.

    In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

    • a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
    • b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
    • c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
    • d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
  • 4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
  • 5. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.

Relevante overwegingen

  • 85. Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de toezichthoudende autoriteit onverwijld en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en kan de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt.
  • 87. Nagegaan moet worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de toezichthoudende autoriteit en de betrokkene daarvan onverwijld in kennis te stellen. Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene. Die kennisgeving kan ertoe leiden dat de toezichthoudende autoriteit optreedt overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden.
  • 88. Bij de vaststelling van gedetailleerde regels betreffende de methode en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van die inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet waren beschermd door adequate technische maatregelen die de kans op identiteitsfraude of andere vormen van misbruik beperkten. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten wanneer vroegtijdige bekendmaking het onderzoek naar de omstandigheden van een inbreuk in verband met persoonsgegevens nodeloos zou hinderen.

Jurisprudentie Hof van Justitie van de EU

Er zijn geen uitspraken gevonden bij deze bepaling.

Sanctie-besluiten en EDPB-richtsnoeren

Datum publicatie Document
12 november 2021

Boete Transavia
Boete van de Autoriteit Persoonsgegevens

Beveiliging van persoonsgegevens; Datalekken - De Autoriteit Persoonsgegevens (AP) heeft luchtvaartmaatschappij Transavia een boete opgelegd van 400. 000 euro. Transavia krijgt de boete voor het slecht beveiligen van persoonsgegevens. Door die slechte beveiliging kon een hacker de systemen van Transavia binnendringen. Lees verder: AP beboet Transavia om slechte beveiliging persoonsgegevens. 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den….

11 mei 2021

Boete datalek PVV Overijssel
Boete van de Autoriteit Persoonsgegevens

Datalekken; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) heeft de PVV Overijssel een boete opgelegd van 7. 500 euro.   De PVV Overijssel krijgt deze boete omdat de partij een datalek niet heeft gemeld bij de AP. Door dit datalek zijn politieke opvattingen van mensen gelekt. Lees verder: Boete PVV Overijssel vanwege niet melden datalek. 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T 070 8888 500 - F 070….

31 maart 2021

Boete Booking.com
Boete van de Autoriteit Persoonsgegevens

Bijlage(n) 1 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T 070 8888 500 - F 070 8888 501 autoriteitpersoonsgegevens. nl Aangetekend Booking. com B. V. De Raad van Bestuur t. a. v. [VERTROUWELIJK] Postbus 1639 1000 BP Amsterdam Datum 10 december 2020 Ons kenmerk [VERTROUWELIJK] Contactpersoon [VERTROUWELIJK] Onderwerp Besluit tot het opleggen van een bestuurlijke boete Geachte….

11 februari 2021

Boete OLVG
Boete van de Autoriteit Persoonsgegevens

Gezondheidsgegevens in een dossier; Gezondheidsgegevens gebruiken en delen; Beveiliging van persoonsgegevens - De Autoriteit Persoonsgegevens (AP) heeft het Amsterdamse ziekenhuis OLVG een boete van 440. 000 euro opgelegd. Het OLVG nam tussen 2018 en 2020 te weinig maatregelen om te voorkomen dat onbevoegde medewerkers toegang kregen tot medische dossiers. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het….

29 november 2018

Boete Uber datalek
Boete van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft Uber een boete van 600. 000 euro opgelegd voor het overtreden van de meldplicht datalekken.   In 2016 vond een datalek bij het Uber-concern plaats waarbij onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs kregen. Het Uber-concern krijgt de boete omdat het de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek heeft geïnformeerd. Wereldwijd werden ruim 57 miljoen Uber-gebruikers getroffen door dit datalek, onder wie….

  • Bijdragen?