Wat is belangrijk wanneer het gaat om een datalek. Dat lees je op deze pagina.
Om deze redenen is een beleid geformuleerd om zo adequaat mogelijk te handelen, indien er sprake is van een datalek.
Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Omdat er sprake is van een organisatie die bekend staat als een eenmansbedrijf (zelfstandige zonder personeel), is de beheerder en eigenaar tevens verantwoordelijk voor de melding van een datalek. Er is dus geen aparte ‘intern verantwoordelijke’ aangesteld. De contactgegevens zoals vermeld in het colofon van deze website zijn ook van toepassing in dit geval.
3. Interne melding bij ontdekking van een datalek
Er is geen sprake van een apart beleid voor het intern melden van een ontdekking van een datalek, dit omdat het gaat om een bedrijf waarvoor slechts een persoon werkzaam is.
Indien mogelijk wordt ervoor gezorgd dat de gelekte gegevens op afstand worden gewist en/of ontoegankelijk gemaakt.
Het onderzoek na het ontdekken van een datalek bestaat onder andere uit:
Direct na het vaststellen van het datalek begint niet alleen het onderzoek. Ook wordt begonnen met het bestrijden ervan. Er worden adequate maatregelen genomen ter bestrijding van dit datalek.
Het onderzoek zal moeten leiden tot de mogelijke gevolgen van het datalek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en daarmee moet vastgesteld worden wat de nadelige gevolgen van de betrokkenen kan zijn.
De ontdekker/melder van het datalek biedt alle medewerking aan de beheerder door zo snel als mogelijk (schriftelijk) antwoord te geven op de volgende vragen:
Het kan voorkomen dat door dit datalek de beschikbaarheid van de beheerder verminderd zal zijn, omdat de datalek een verhoogde prioriteit zal krijgen.
Binnen zestig (60) uur na het vaststellen van een datalek volgt een beslissing over verder te nemen stappen. Dan wordt duidelijk of er een melding gedaan moet worden bij de Autoriteit Persoonsgegevens of betrokkenen.
Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen.
De melding van het datalek gaat gepaard met de beantwoording van vragen zoals omschreven in deel 7.
Is een melding gedaan bij de Autoriteit Persoonsgegevens, dan wordt dit gemeld bij de betrokkenen, wanneer dit een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.
De beheerder maakt een melding bij de Autoriteit Persoonsgegevens/betrokkenen indien dit noodzakelijk is. Deze melding wordt binnen 72 uur gedaan nadat er een datalek plaatsgevonden heeft.
Indien het datalek nadelige gevolgen heeft voor betrokkenen, dan zal de beheerder er alles aan doen om deze gevolgen zoveel mogelijk te beperken. Afhankelijk van de aard en omvang van het datalek voor de betrokkenen wordt bepaald:
Indien het datalek heeft plaatsgevonden – ongeacht of deze is gemeld of niet – worden zo snel als mogelijk adequate technische- en/of organisatorische maatregelen genomen om in de toekomst dergelijke datalekken te voorkomen.
De intern verantwoordelijke houdt een register bij van alle datalekken, waarin alle gegevens rondom het datalek geregistreerd worden zoals:
Het protocol meldplicht datalekken is opgemaakt op 11 april 2021 voor de website van De Goede Huisvader en inhoudelijk gewijzigd voor deze website (harmjagerman.com) op 1 december 2023.