Waarom is er in de AVG geen termijn voor het informeren van slachtoffers van een datalek opgenomen?

In dit artikel:

Ict-jurist Arnoud Engelfriet legt uit waarom de AVG wél een harde 72-uursdeadline kent voor melding aan de toezichthouder, maar geen exact tijdslimiet voor het informeren van getroffen personen. Organisaties moeten datalekken volgens artikel 33 "zonder onredelijke vertraging" bij de toezichthouder (in Nederland: de AP) melden en daarom is er expliciet een uiterste termijn van 72 uur vanaf ontdekking. Die vroege melding geeft de toezichthouder de mogelijkheid om vanaf het begin toezicht te houden en eventueel bij te sturen of bewijs veilig te stellen.

Voor betrokkenen geldt artikel 34: zij moeten "onverwijld" geïnformeerd worden, maar er staat geen vast aantal uren genoemd. Waarschijnlijk is dat omdat zeer vroege berichten vaak onvolledig zijn en weinig hulp bieden; soms is het verstandiger eerst onderzoek te doen zodat de melding concreet nut heeft (bijvoorbeeld advies om wachtwoorden te wijzigen). Dat neemt niet weg dat "onverwijld" betekent: zo snel mogelijk — wekenlange vertragingen zijn niet toegestaan. De toezichthouder kan organisaties dwingen om direct iedereen te informeren en kan optreden bij nalatigheid.

Kortom: meld snel en transparant, maak indien nodig een gedeeltelijke melding aan de AP en informeer betrokkenen zonder onnodige vertraging zodat zij passende tegenmaatregelen kunnen nemen.