Protocol Meldplicht datalek

Dagelijks hebben wij te maken met verwerking van persoonsgegevens. Volgens de Wet bescherming persoonsgegevens (Wbp) en de Algemene Verordening Gegevensbescherming (AVG) is een persoonsgegeven alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dit zijn voor de hand liggende gegevens als naam, adres, woonplaats etc., maar ook bij telefoonnummers, rekeningnummers of EAN-codes is dit het geval. Wanneer deze gegevens niet goed zijn beveiligd, brengt dit risico’s met zich mee.

1       Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. De persoonsgegevens hebben betrekking op zowel de gegevens van klanten als medewerkers.

1.1    Is dit een datalek?

Sales agent controleert en stelt vast of er een datalek heeft plaatsgevonden met behulp van het doorlopen van de onderstaande vragen. Indien een datalek heeft plaatsgevonden bespreekt sales agent dit met SalesFuse B.V. direct na het vaststellen van het datalek. Uitgangspunt is dat de meldplicht datalekken uit de Wbp en de AVG van toepassing is op de verwerking waarover het gaat.

–              Is er sprake van een inbreuk op de beveiliging?

  • Ja (dan volgende vraag)
  • Nee (er is geen sprake van een datalek)

–              Zijn bij de inbreuk persoonsgegevens verloren gegaan?

  • Ja (dit is een datalek)
  • Nee (dan volgende vraag)

–              Kan ik redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt?

  • Ja (er is geen sprake van een datalek)
  • Nee (dit is een datalek)

Indien een datalek heeft plaatsgevonden bespreekt sales agent dit met de directie van SalesFuse B.V. direct na het vaststellen van het datalek.

Contact gegevens directie:
Naam: Toby de Melker
E-mail: tdemelker@salesfuse.nl
Telefoon: 0653514535

Contactgegevens compliance officer:
Naam:  Laura Saija
E-mail: laura@salesfuse.nl
Telefoon: 0652718850

Als een datalek heeft plaatsgevonden worden activiteiten 2, 3, 4 en 5 doorlopen. De verantwoordelijkheid dat 2, 3, 4 en 5 goed worden doorlopen ligt bij SalesFuse B.V.

2       Melding directie

Zodra een datalek geconstateerd wordt, moet deze binnen 4 uur worden gemeld bij de SalesFuse B.V. Deze zal vervolgens bepalen welke stappen genomen zullen worden om de schade te beperken. In het geval van een datalek met klantgegevens zal de heer Toby de Melker deze verantwoordelijkheid direct verleggen naar de eigenaar van de gegevens en hier binnen 4uur melding van maken bij de betreffende organisatie. In dit geval zijn stap 3, 4 en 5 niet van toepassing dan wel niet aan de heer Toby de Melker om uit te voeren.

3       Bepalen of een melding noodzakelijk is

SalesFuse B.V. bepaalt het ‘risicocriterium’. (Een datalek zal altijd gemeld worden bij de betreffende opdrachtgever.) Ter illustratie: als er sprake is van een inbreuk, bekijkt de wetgever of er een aanmerkelijk risico is dat persoonsgegevens zijn verloren of onrechtmatig worden verwerkt. Hierbij wegen zij alle omstandigheden van het geval mee.

SalesFuse B.V. stelt door middel van het beantwoorden van onderstaande vragen vast of een specifiek datalek moet worden gemeld aan de AP. Uitgangspunt is dat er een gebeurtenis heeft plaatsgevonden waarvan SalesFuse B.V. al heeft vastgesteld dat het gaat om een datalek gaat.

  • Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens?

Ja/Nee

  • Zijn er persoonsgegevens van gevoelige aard gelekt?

Ja/Nee

  • Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen?

Ja/Nee

Indien ‘Ja’ op één van de twee bovenstaande vragen is geantwoord, is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens en moet het datalek worden gemeld aan de AP op grond van de meldplicht datalekken.

4       Autoriteit Persoonsgegevens informeren

SalesFuse B.V. moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek via het webformulier van de AP (zie https://autoriteitpersoonsgegevens.nl/ ). In de melding aan de AP moet worden aangeven of het datalek al aan de betrokkenen is gemeld en, zo nee, wanneer SalesFuse B.V. dat eventueel gaat doen.

5       Informeer de betrokkenen

Door de betrokkenen en de kring van betrokkenen snel en adequaat te informeren over het

datalek, verkleinen wij de kans op ontevreden personeel of klanten. Ook de aard van de inbreuk en de gevolgen daarvan voor de verwerking van persoonsgegevens spelen een belangrijke rol in de communicatiekeuzes die wij maken. Zo kan er gekozen worden voor bijvoorbeeld een persoonlijk bericht, een bericht op een website. Het is in ieder geval belangrijk om bij (grootschalige) datalekken zelf contact op te nemen met de pers en ze te informeren over wat er is gebeurd. Hier ligt een rol voor de persvoorlichter of woordvoerder die namens de organisatie spreekt. Onderstaand staat omschreven hoe de heer Toby de Melker zorg kan dragen voor het adequaat informeren van de betrokkenen:

  • Wees transparant en vertel wat er is gebeurd
  • Leg uit wat er is gedaan om een hack te voorkomen
  • Vertel dat het ondanks de beveiliging toch is misgegaan
  • Wees open als het bijvoorbeeld een geavanceerde hack was waartegen de beveiliging niet was opgewassen
  • Bied excuses aan en leg uit dat wordt gewerkt aan een betere beveiliging; • geef in heldere taal aan welke stappen de betrokkenen zelf kunnen nemen om de schade zo beperkt mogelijk te houden
  • Raad hen bijvoorbeeld aan om wachtwoorden te wijzigen
  • Bied de gedupeerden, waar nodig, iets extra’s aan. Denk hierbij aan een rechtstreeks nummer waar ze terecht kunnen met vragen.

Contact

 

Neem contact met mij op