Uitzondering op meldplicht aan betrokkene

Uit NORA Online
ISOR:Uitzondering op melden van datalek aan betrokkene
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
Logo ISOR normen (een hangslot met de tekst ISOR norm)
ID: PRIV_C.03.04.02
Norm
Versie: 3.3
Status: Actueel
Publicatiedatum: 16-10-2017
Redactionele wijzigingsdatum: 19-6-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de C van Control
Control
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Bovenliggende principe
Meer in normenkader èn aspect
Alle normen
Alle normenkaders
ISOR (Information Security Object Repository)

Stelling

De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:

  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
  • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
  • De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
  • De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
  • Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
  • De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
  • De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.


Toelichting

  • Telecommunicatiewet: heeft eigen meldingsverplichting bij datalekkenTelecommunicatiewet Art. 11.3a.
  • UAVG 42 luidt "Artikel 34 van de verordening is niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht". AVG Art. 34 betreft de meldplicht aan betrokkenen. Financiële ondernemingen moeten dus wél aan AP melden maar niet aan de betrokkenen. De financiële sector kent een eigen zorgplicht jegens betrokkenen.
  • De volgende specifieke uitzonderingsgronden worden gesteldAVG Art. 23 lid 1:
    1. De nationale veiligheid;
    2. De landsverdediging;
    3. De openbare veiligheid;
    4. De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
    5. Andere belangrijke doelstellingen van algemeen belang van de EU of van een lidstaat, met name een belangrijk economisch of financieel belang van de EU of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
    6. De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
    7. De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
    8. Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten (a) tot en met (e) en punt (g) bedoelde gevallen;
    9. De bescherming van de betrokkene of van de rechten en vrijheden van anderen;
    10. De inning van civielrechtelijke vorderingen.
  • De wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minsteAVG Art. 23 lid 2:
    1. De doeleinden van de verwerking of van de categorieën van verwerking;
    2. De categorieën persoonsgegevens;
    3. Het toepassingsgebied van de ingevoerde beperkingen;
    4. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
    5. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;
    6. De opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking;
    7. De risico's voor de rechten en vrijheden van de betrokkenen, en:
    8. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
  • De AVG geldt ook voor verwerkingsverantwoordelijken en verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
  • Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteitenAVG overweging 18.

Bovenliggende principe(s)

Deze norm realiseert het principe Meldplicht Datalekken via de conformiteitsindicator uitzondering.

Grondslag


Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

De omschrijving van het functionele gebruik van de voorziening

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Uitzondering_op_melden_van_datalek_aan_betrokkene&oldid=43222"