Een datalek is een inbreuk op de beveiliging van persoonsgegevens die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. De inbreuk kan per ongeluk zijn of met opzet gebeuren.
EDR is verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP) en bij degene(n) van wie de gegevens zijn en/of degene(n) die ze gebruiken. Die verplichting geldt niet wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betreffende personen.
Datalekken worden bij EDR altijd intern geregistreerd en beoordeeld. Per melding wordt vastgesteld welke actie er nodig is om de risico’s voor de betrokkene(n) zo goed mogelijk te beperken.
Het is belangrijk dat alle vermoedens van een datalek die betrekking hebben op persoonsgegevens die door EDR worden verwerkt zo snel mogelijk bij EDR worden gemeld. EDR kan beoordelen of er sprake is van een datalek en actie ondernemen.