Nadat de verwerkingsverantwoordelijke voor het eerst door een persoon, een mediaorganisatie of een andere bron op de hoogte is gebracht van een mogelijke inbreuk, of wanneer hij zelf een veiligheidsincident heeft ontdekt, kan hij een kort onderzoek instellen om vast te stellen of er al dan niet daadwerkelijk een inbreuk heeft plaatsgevonden. Zolang dit onderzoek loopt, kan de verwerkingsverantwoordelijke niet worden geacht “kennis” te hebben gekregen. Er wordt echter verwacht dat het eerste onderzoek zo spoedig mogelijk begint en dat op basis daarvan met een redelijke mate van zekerheid wordt vastgesteld of een inbreuk heeft plaatsgevonden; daarna kan een gedetailleerder onderzoek volgen.

Doordat de verwerker verplicht is zijn verwerkingsverantwoordelijke in kennis te stellen, kan de verwerkingsverantwoordelijke de inbreuk aanpakken en bepalen of hij al dan niet verplicht is de toezichthoudende autoriteit overeenkomstig artikel 33, lid 1, en de getroffen personen overeenkomstig artikel 34, lid 1, in kennis te stellen. De verwerkingsverantwoordelijke kan ook een onderzoek naar de inbreuk instellen, aangezien de verwerker mogelijk niet in staat is alle relevante feiten met betrekking tot de zaak te kennen […]

De 72 uur start dus op het moment dat de Verantwoordelijke weet dat er daadwerkelijk een datalek heeft plaatsgevonden. Er is dan nog maximaal 72 uur om vast te stellen om welke data en welke betrokkenen het gaat en om te besluiten of het datalek onder de meldplicht valt.

Zie ook:
https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf
https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf