Ik heb recent een melding gedaan aan AP en betrokkenen. Je moet in eerste instantie zelf afwegen of je moet melden aan de betrokkenen.
Er is een document beleidsregels meldplicht datalekken waarin o.a. staat:
"De wet geeft aan dat u een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.....Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe van uit gaan dat u het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene.Als je zelf onterecht beslist niet aan betrokkenen te melden kan de Autoriteit Persoonsgegevens je achteraf verplichten om het alsnog te doen. Vanwege de beeldvorming neem je liever zelf het besluit aan betrokkenen te melden dan dat er naar buiten komt dat je wordt gedwongen door de AP
Kijk voor uitleg op:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf