Protocol meldplecht datalekken
Overwegingen:
Van Reekum design hecht belang aan een goede beveiliging van haar (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en verwerkt. Het valt desniettemin nooit volledig te voorkomen dat er een data lek zal plaats vinden.
Van Reekum Design is op grond van de algemene vordering gegevensbescherming (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen. Van Reekum Design wenst aan haar wettelijke verplichtingen te voldoen en heeft daarom een beleid geformuleerd om zo adequaat mogelijk te handelen indien er onverhoopt
- Definitie data lek
Er is sprake van een data lek als er een inbreuk op de beveiliging plaatsvind die per ongeluk of op onrechtmatige wijze lijdt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. - Er is sprake van een data lek als er een inbreuk op de beveiliging plaatsvind die per ongeluk of op onrechtmatige wijze lijdt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
De interne verantwoordelijk onderzoekt onder meer:
– Of er persoonsgegevens verloren zijn gegaan of onrechtmatig kunnen worden gebruikt
– Wie er eventueel betrokken kunnen zijn bij het data lek
– Of er een verwerker betrokken is bij het incident - Bestrijding datalek
De interne verantwoordelijkheid stopt het data lek indien dat nog kan en neemt voorts de noodzakelijke maatregelen om het data leg zo goed mogelijk te bestrijden. - Vaststelling van de gevolgen van een data lek
De interne verantwoordelijke onderzoekt de mogelijke gevolgen van het data lek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen zijn voor alle betrokkenen - Medewerking verstrekking gegevens omtrent het data lek
De ontdekker/melder van het data lek biedt alle medewerking aan de interne verantwoordelijke door zo snel en goed mogelijk (schriftelijk) antwoord te geven op de volgende vragen:
– Wat is er gebeurd? (omschrijving incident)
– Ging het per ongeluk of is het veroorzaakt door kwade opzet (denk aan gehackte gegevens)?
– Wanneer is het gebeurd (datum en tijdstip)?
– Wanneer is het ontdekt?
– Wat voor gegevens (registers) zijn er gelekt?
– Zijn de gegevens versleuteld (zo ja, hoe)?
– Konden de gegevens op afstand gewist of ontoegankelijk worden gemaakt, zo ja, hoe is dit gebeurd?
– Wat zijn de mogelijke gevolgen voor de betrokkenen?
– Welke groep(en) personen zijn hierdoor getroffen (bijvoorbeeld, leerling/patiënt/premium leden)
– Hoeveel personen zijn er (bij benadering) getroffen?
– Zijn er hierdoor ook andere personen in andere EU/ landen getroffen?
– Konden er al technische en/of organisatorische maatregelen getroffen worden naar aanleiding van het incident? - Van Reekum Design is een eenmanszaak
Deze zal er alles aan doen om het lek zo snel mogelijk te verhelpen en op te lossen, zij het door een derde partij.
– Een data lek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het data lek een risico inhoud voor de vrijheid en rechten van de betrokkenen.
– Een data lek dat is gemeld aan de Autoriteit persoonsgegevens zal eveneens gemeld worden aan alle betrokkenen indien het een hoog risico inhoud voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend. - Melding datalekken aan de Autoriteit Persoonsgegevens en/of betrokkenen
– Van Reekum Design draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkenen
– Melding geschiedt zo spoedig mogelijk na de ontdekking en uiterlijk binnen de 72 uur na de ontdekking van het data lek
– Indien daartoe verzocht, verleent een werknemer (als deze daar is) alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het data lek - Gevolgen melding datalekken
– Indien het data lek negatieve gevolgen heeft voor de betrokkenen, dan doet van Reekum Design er alles aan om deze gevolgen zoveel mogelijk te beperken.
– Afhankelijk van de aard en vorm van het data lek voor betrokkenen bepaald van Reekum Design:
— Op welke wijze de betrokkenen worden geïnformeerd (waaronder in ieder geval de mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke gevolgen zijn, welke maatregelen van Reekum Design meent en op welke wijze betrokkenen zelf de schade kunnen voorkomen of beperken)
— Welke nazorg de betrokkenen krijgen
— Welke acties in het belang van de organisatie noodzakelijk zijn - Bijhouden register datalekken
Van Reekum Design houdt een register bij van alle datalekken, waarin alle gegevens rondom het data lek worden geregistreerd, zoals:
– Een omschrijving van het incident
– Datum en tijdstip van het incident
– Datum en tijdstip van de ontdekking van het incident
– Omschrijving van de gelekte persoonsgegevens
– Omschrijving van de categorie(en) van de betrokkenen die getroffen zijn
– Omschrijving van het aantal betrokkenen personen (bij benadering)
– Of ook gegevens van personen in andere EU landen zijn gelekt
– Of het incident is gemeld aan de Autoriteit persoonsgegevens en zo ja datum en tijdstip melding
– Of het incident is gemeld aan de betrokkenen, zo ja, datum en tijdstip melding
– Op welke wijze de betrokkenen zijn geïnformeerd
– De gevolgen van het data lek, met indien mogelijk vermelding van datum en tijdstip
– Welke technische en/of organisatorische maatregelen zijn getroffen na het data lek, met vermelding van datum en tijdstip van de melding