Naast te terechte vraag of hier in juridische zin sprake is van een datalek en de vraag of het voor de interne beheersing van je informatiebeveiliging relevant is om intern te melden, is het ook zinvol te weten of de wet van mening is dat je dit moet melden (bij toezichthouder en/of betrokkenen). Art 33 en art 34 geven hierover uitsluitsel; is er sprake van een risico voor betrokkenen, dan melden bij toezichthouder. Is er sprake van een hoog risico, dan ook melden bij betrokkenen. Indien jij als externe contractor onder NDA staat, dan kan jij dit *alleen* intern melden. De plicht om eventueel extern te melden licht bij de klant. De klant is jou geen enkele verantwoording verschuldigd over de vraag of zij dit wel/niet doen. Verzaken zij hun verplichting, dan zijn zij hiervoor juridisch aansprakelijk. De wet waar jij mee te maken hebt is niet de meldplicht datalekken - het is de wettelijke verplichting aan jouw kant om geheimhouding te waarborgen, en om de contractuele overeenkomsten met de klant te ...