Databestand verstuurd zonder toestemming respondenten? En dan…?

datalek datalek

Stel: u stuurt een databestand naar de opdrachtgever mét persoonsgegevens en antwoorden op de vragenlijst, buiten toestemming van de respondenten. Moet u dat officieel melden?

De respondenten hebben hier geen toestemming voor gegeven. Nu de uitwerking:

Moet u dat melden? Of kunt u volstaan met een verzoek bij de opdrachtgever om de gegevens te verwijderen?

Dit zijn de mogelijkheden:

Als een melding moet plaatsvinden bij de Autoriteit Persoonsgegevens dan moet de verwerkingsverantwoordelijke dat doen (dus de opdrachtgever).
Gaat het om een panel van een onderzoeksbureau, dan moet het bureau dat doen. Gaat het om een bronbestand dat met de verrijkte data wordt teruggezonden naar de verantwoordelijke, dan zal die de afweging moeten maken.

Kunnen we spreken van een datalek?

In de richtlijn van de Autoriteit Persoonsgegevens staat het volgende schema.

Schema databeveiliging

Op basis van het schema is de conclusie: er is een inbreuk op de beveiliging gemaakt, maar er zijn geen gegevens verloren gegaan, en je kunt redelijkerwijs uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt.
Oftewel: er is geen datalek, maar wel een beveiligingsincident. Dat hoeft niet gemeld te worden bij de Autoriteit Persoonsgegevens, want het bestand is van origine van de opdrachtgever. Het onderzoekbureau kan het best zijn opdrachtgever verzoeken om het bestand te vernietigen en dat laten vervangen door een correct bestand.
Anders zou het zijn als het bestand van opdrachtgever A abusievelijk naar opdrachtgever B is gezonden terwijl opdrachtgever B er niets mee te maken heeft. In dat geval is er wel sprake van een datalek, omdat redelijkerwijs niet kan worden uitgesloten dat persoonsgegevens onrechtmatig zijn verwerkt door B.

Gaat het om het terugsturen van een bestand aan een ander dan de opdrachtgever dan is er wel sprake van een datalek (3.3 in schema valt dan niet uit te sluiten), ook wanneer het bestand is gemaakt op een eigen panel van het onderzoekbureau.

Aanmelden Cloutoday