Protocol meldplicht datalekken

Introductie

Wat is belangrijk wanneer het gaat om een datalek. Dat lees je op deze pagina.

Overwegingen

  • Harm Jagerman (hierna de beheerder of beheerder) hecht belang aan een goede beveiliging van de (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en worden verwerkt.
  • Het valt desalniettemin nooit volledig te voorkomen dat er een datalek zal plaatsvinden.
  • De beheerder is op grond van de Algemene Verordening Gegevensbescherming (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens en betrokkenen.
  • De beheerder wenst aan de wettelijke verplichtingen te voldoen.

Om deze redenen is een beleid geformuleerd om zo adequaat mogelijk te handelen, indien er sprake is van een datalek.

 

1. Definitie datalek

Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

2. Interne verantwoordelijke melding datalekken

Omdat er sprake is van een organisatie die bekend staat als een eenmansbedrijf (zelfstandige zonder personeel), is de beheerder en eigenaar tevens verantwoordelijk voor de melding van een datalek. Er is dus geen aparte ‘intern verantwoordelijke’ aangesteld. De contactgegevens zoals vermeld in het colofon van deze website zijn ook van toepassing in dit geval.

3. Interne melding bij ontdekking van een datalek

Er is geen sprake van een apart beleid voor het intern melden van een ontdekking van een datalek, dit omdat het gaat om een bedrijf waarvoor slechts een persoon werkzaam is.

Indien mogelijk wordt ervoor gezorgd dat de gelekte gegevens op afstand worden gewist en/of ontoegankelijk gemaakt.

4. Onderzoek

Het onderzoek na het ontdekken van een datalek bestaat onder andere uit:

  • Nagaan of er persoonsgegevens verloren zijn gegaan.
  • Nagaan of er persoonsgegevens onrechtmatig gebruikt kunnen worden.
  • Welke systemen betrokken zijn bij deze datalek.
  • Of er een verwerker betrokken is bij dit incident.

5. Bestrijding

Direct na het vaststellen van het datalek begint niet alleen het onderzoek. Ook wordt begonnen met het bestrijden ervan. Er worden adequate maatregelen genomen ter bestrijding van dit datalek.

6. Vaststelling gevolgen van een datalek

Het onderzoek zal moeten leiden tot de mogelijke gevolgen van het datalek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en daarmee moet vastgesteld worden wat de nadelige gevolgen van de betrokkenen kan zijn.

7. Medewerking verstrekking gegevens omtrent het datalek

De ontdekker/melder van het datalek biedt alle medewerking aan de beheerder door zo snel als mogelijk (schriftelijk) antwoord te geven op de volgende vragen:

  • Wat is er gebeurd?
    Een omschrijving van het incident
  • Deed dit incident zich per ongeluk voor of was er sprake van moedwillig handelen?
    Wellicht was er sprake van een hack of was het een kwestie van ‘iets uitproberen.’
  • Wanneer is dit ontdekt?
    Datum en tijdstip zijn hierbij noodzakelijk.
  • Wat voor gegevens(registers) zijn gelekt?
  • Konden de gegevens op afstand worden gewist of ontoegankelijk worden gemaakt en zo ja, is dit gebeurd?
  • Wat zij de mogelijke nadelige gevolgen voor de betrokkenen?
  • Welke groep(en) personen is/zijn hierbij getroffen?
  • Hoeveel personen zijn hierdoor (bij benadering) getroffen?
  • Zijn er ook gegevens van personen in andere EU-landen getroffen door dit datalek?
  • Konden er al technische- en/of organisatorische maatregelen getroffen worden naar aanleiding van dit incident?

8. Beschikbaarheid

Het kan voorkomen dat door dit datalek de beschikbaarheid van de beheerder verminderd zal zijn, omdat de datalek een verhoogde prioriteit zal krijgen.

9. Beslissing bij datalekken

Binnen zestig (60) uur na het vaststellen van een datalek volgt een beslissing over verder te nemen stappen. Dan wordt duidelijk of er een melding gedaan moet worden bij de Autoriteit Persoonsgegevens of betrokkenen.

Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen.

De melding van het datalek gaat gepaard met de beantwoording van vragen zoals omschreven in deel 7.

Is een melding gedaan bij de Autoriteit Persoonsgegevens, dan wordt dit gemeld bij de betrokkenen, wanneer dit een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.

10. Melding bij datalekken

De beheerder maakt een melding bij de Autoriteit Persoonsgegevens/betrokkenen indien dit noodzakelijk is. Deze melding wordt binnen 72 uur gedaan nadat er een datalek plaatsgevonden heeft.

11. Gevolgen melding datalekken

Indien het datalek nadelige gevolgen heeft voor betrokkenen, dan zal de beheerder er alles aan doen om deze gevolgen zoveel mogelijk te beperken. Afhankelijk van de aard en omvang van het datalek voor de betrokkenen wordt bepaald:

  • Op welke wijze de betrokkenen geïnformeerd worden (waaronder in ieder geval de mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke gevolgen zijn, welke maatregelen genomen worden of genomen zijn en wat de betrokkenen zelf kunnen doen om schade te voorkomen of te beperken).
  • Welke nazorg de betrokkenen krijgen.
  • Welke acties in het belang van de organisatie noodzakelijk zijn.


Indien het datalek heeft plaatsgevonden – ongeacht of deze is gemeld of niet – worden zo snel als mogelijk adequate technische- en/of organisatorische maatregelen genomen om in de toekomst dergelijke datalekken te voorkomen.

12. Bijhouden register datalekken

De intern verantwoordelijke houdt een register bij van alle datalekken, waarin alle gegevens rondom het datalek geregistreerd worden zoals:

  • Een omschrijving van het incident.
  • Datum en tijdstip van het datalek.
  • Datum en tijdstip ontdekking van het datalek.
  • Omschrijving van de soort gelekte persoonsgegevens.
  • Omschrijving van de categorie(en) van betrokkenen die zijn getroffen.
  • Omschrijving aantal betrokkenen (bij benadering).
  • Of ook gegevens van personen in andere EU-landen zijn gelekt.
  • Of het incident is gemeld aan de Autoriteit Persoonsgegevens en zo ja datum en tijdstip melding.
  • Of het incident is gemeld aan de betrokkenen en zo ja, datum en tijdstip melding.
  • Op welke wijze betrokkenen zijn geïnformeerd.
  • De gevolgen van het datalek, met indien mogelijk vermelding van datum en tijdstip.
  • Welke technische en/of organisatorische maatregelen zijn getroffen na het datalek, met vermelding van datum en tijdstip.
 

13. Update

Het protocol meldplicht datalekken is opgemaakt op 11 april 2021 voor de website van De Goede Huisvader en inhoudelijk gewijzigd voor deze website (harmjagerman.com) op 1 december 2023.