Niet alle inbreuken hoeven te worden gemeld. Kleine incidenten zijn uitgesloten. De drempel om te moeten melden ligt echter, gelet op recente beleidsregels van het College Bescherming Persoonsgegevens nu ook weer niet zo hoog. De inbreuken die ernstige gevolgen kunnen hebben voor de privacy van betrokkenen, moeten niet alleen aan het College, maar ook aan die betrokkenen worden gemeld. Dat betekent praktisch gezien dat er in allerijl een eenduidige communicatiestrategie moet worden bedacht en call centers en dergelijke opgezet moeten worden. De melding moet zo snel mogelijk en in principe binnen twee werkdagen na ontdekking worden gedaan. Van iedere inbreuk die wordt gemeld, moet bovendien een goede administratie worden bijgehouden. Daarin moet onder andere worden opgeslagen wat er aan de hand was, hoe het incident is verholpen en welke communicatie er met het College en/of de betrokkenen heeft plaatsgevonden.

Angstscenario
Een datalek klinkt ‘ver van mijn bed’. Maar dat is het niet. Hieronder enkele voorbeelden van overtredingen die vanaf 1 januari kunnen worden beboet:

1. Het kwijtraken van een klantenbestand. Sommige restaurants houden alle gegevens van een gast bij. Afhankelijk van de omvang van het bestand (alleen e-mailadressen of meer persoonsgegegevens) en de mogelijk gevoelige inhoud (bijvoorbeeld medische dieetvoorkeuren), kan het zijn dat dit een datalek is dat gemeld moet worden aan de toezichthouder. Bovendien is het hoogst waarschijnlijk een overtreding van de beveiligingsverplichting. Er kan dus ook een boete volgen. Afhankelijk van de verwijtbaarheid aan de restauranthouder (had hij beter moeten weten? Is dit hem vaker overkomen?) zou die boete direct opgelegd kunnen worden. Volgens de conceptbeleidsregels zou de boete dan in beginsel minimaal €120.000 kunnen bedragen. Indien er geen (grote mate van) verwijtbaarheid is, moet de toezichthouder eerst een bindende aanwijzing opleggen.
2. Een personeelslid misbruikt klantenbestand van de zaak. Ook dit is mogelijk een datalek. Bovendien kan ook hier mogelijk een boete worden opgelegd wegens schending beveiliging maar bijvoorbeeld ook wegens schending doeleinden.
3. Datalek via social media. De ondernemer blijft verantwoordelijk voor het eigen social media-gebruik. Een incident bij Facebook zelf kan de ondernemer niet worden aangerekend. Maar een incident op Facebook mogelijk wel, bijvoorbeeld het zelf ten onrechte via Facebook verspreiden van medische gegevens van gasten of bijvoorbeeld een foto van een verdachte van een inbraak. Het doorplaatsen van camerabeelden kan dus heel riskant worden!