Onlangs kreeg een groot bedrijf een boete van € 475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen kunnen hieruit getrokken worden?
Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is in ieder geval nodig als er een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
In veel gevallen zal er onderzoek nodig zijn of er daadwerkelijk sprake is van een datalek. Dat onderzoek kan enige tijd in beslag nemen. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of er sprake is van een inbreuk op persoonsgegevens. Als er van een inbreuk sprake is, moeten er ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.
Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.
De rechter oordeelde echter dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.
De eerste les die uit deze uitspraak kan worden getrokken is dat het verstandig is om bij een mogelijk datalek binnen 72 uur in ieder geval een pro-formamelding bij de AP te doen. Daarmee kunt u een boete vanwege een te late melding voorkomen.
Tip! Vermeld in de pro-formamelding welke actie er al ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Als er van de eigen protocollen wordt afgeweken, kan dit ertoe leiden dat er niet adequaat is opgetreden en kan er een boete worden opgelegd.
Ontdek meer actuele inzichten en praktische updates van Cooster.
Een echtpaar koopt een woning. Om aanspraak te maken op het verlaagde tarief van de overdrachtsbelasting verklaren zij de woning als hoofdverblijf te zullen gebruiken. Nog voor de levering van deze woning vinden zij echter hun droomwoning. Pas na de
Lees artikelVoor zover iemands inkomen uit werk en woning zonder de aftrekposten in de hoogste tariefschijf valt, geldt een lager tarief voor de aftrekposten. Dit wordt de tariefmaatregel genoemd. De inspecteur past bij het opleggen van de aanslagen de
Lees artikelPer 1 mei 2026 heeft de Belastingdienst nieuwe rekeningnummers. Dit komt door de overstap van ING naar Rabobank. Het meest gebruikte nieuwe rekeningnummer is: NL04 RABO 0200 1122 44. Het nieuwe rekeningnummer staat op de website en in de berichten
Lees artikelEen fiscale eenheid groeit in de loop der jaren flink. Na uitbreiding met een winstgevende vennootschap wil de moedermaatschappij oude verliezen verrekenen. De Belastingdienst weigert dat. Volgens de inspecteur moet je eerst kijken naar het resultaat
Lees artikelEen autohandelaar koopt honderden gebruikte auto's van twee leveranciers. Die leveranciers factureren de auto's als marge-auto's. De autohandelaar past daarom de margeregeling toe en draagt alleen btw af over zijn winstmarge. De inspecteur stelt dat
Lees artikelWie dividendbelasting inhoudt, moet die ook afdragen. Het argument dat de belasting materieel niet verschuldigd is, helpt niet. Dat verweer had de bv moeten voeren door bezwaar te maken tegen haar eigen afdracht, niet door de afdracht simpelweg
Lees artikel
Wil je altijd op de hoogte blijven van het laatste nieuws omtrent financiën en accountancy?
Schrijf je dan in voor onze nieuwsbrief en mis niets.
Wilt u onze nieuwsbrief niet meer ontvangen? dan kunt u zich hier uitschrijven.
