Melding datalek

Beste Zaalberg,

Hoe lang moet een melding van een datalek worden bewaard? En op basis van welk retentienummer moet het worden vernietigd?

Antwoord:

Indien er sprake is van een datalek dient u daarvan aangifte te doen bij de Autoriteit Persoonsgegevens (AP). Daarmee valt een datalek onder Proces 29 van de selectielijst 2020. Bij het opstellen van de selectielijst 2020 is gekeken naar de bewaartermijn van een datalek. Er is toen gekozen voor een bewaartermijn van 5 jaar na afhandeling omdat een betrokkene maximaal 3 jaar na het bekend worden van de datalek een organisatie aansprakelijk kan stellen (de organisatie is wel verplicht de datalek bij de betrokkene te melden. Daarna begint de termijn van 3 jaar te lopen). Er is daarom geen reden om een datalek langer dan 5 jaar te bewaren. Daarom is in de selectielijst 2020 bij de toelichting van resultaat 29.1 een datalek als voorbeeld opgenomen.

Terug naar overzicht