Indien zich binnen de organisatie van de Stichting of bij een door de Stichting ingeschakelde verwerker een inbreuk op de beveiliging voordoet, waarbij een aanzienlijke kans bestaat op verlies of onrechtmatige verwerking van persoonsgegevens die door de Stichting worden verwerkt, dan wel dit verlies of onrechtmatige verwerking zich daadwerkelijk voordoet, zal de Stichting daarvan melding doen bij de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengt.
De Stichting zal iedere inbreuk op de beveiliging als bedoeld in artikel 9.1. documenteren, ongeacht of deze wordt gemeld bij de AP.
Als de inbreuk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt, stelt de Stichting ook de betrokkene onverwijld in kennis van de inbreuk. Deze mededeling kan achterwege blijven als:
de persoonsgegevens versleuteld zijn en niet toegankelijk voor derden;
er inmiddels maatregelen getroffen zijn die het hoge risico hebben weggenomen;
de mededeling een onevenredige inspanning vergt. Een openbare mededeling kan dan volstaan.
Bij het vaststellen of sprake is van een inbreuk op de beveiliging en of melding daarvan moet worden gedaan bij de Autoriteit Persoonsgegevens hanteert de Stichting de procedures die zijn opgenomen in het handboek beveiligingsincidenten en datalekken.