Datalek protocol
1 juni 2018
Een
‘inbreuk in verband met persoonsgegevens’ wordt aangeduid als een ‘Datalek’.
Een datalek kan worden omschreven als een inbreuk op de beveiliging van persoonsgegevens, die leidt tot een kans op, of inderdaad ernstige nadelige gevolgen heeft voor de betrokkene(n) en/of de verwerkingsverantwoordelijke ten aanzien van de bescherming van persoonsgegevens.
Een datalek kan voor betrokkene(n) grote gevolgen hebben, waaronder verlies van controle over hun persoonsgegevens, de beperking van hun rechten, discriminatie, identiteitsdiefstal of financiële verliezen. Het is dan ook van belang dat een datalek tijdig en op passende wijze wordt aangepakt.
Bescherming van de belangen van betrokkene(n) en het wegnemen van de oorzaak van het datalek wordt door Storax B.V. als prioriteit aangemerkt.
Protocol
Storax zal daarom de volgende stappen ondernemen:
- Het datalek zo spoedig mogelijk -doch uiterlijk binnen 72 uur- melden bij de Autoriteit Persoonsgegevens en in voorkomende gevallen en afhankelijk van de omstandigheden aan de betrokkene(n).
N.B.: volgens de ‘Handleiding Algemene verordening gegevensbescherming’ van het Ministerie van Justitie en Veiligheid
- Dient elk datalek te worden gemeld bij de Autoriteit Persoonsgegevens…? “Ja. In beginsel moet ieder datalek aan de Autoriteit Persoonsgegevens worden gemeld. Alleen die datalekken, waarbij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen zijn uitgezonderd van de meldplicht.”
- Dient elk datalek aan betrokkene(n) te worden gemeld…? “Wanneer u heeft vastgesteld dat de inbreuk op de persoonsgegevens een hoog risico voor betrokkenen inhoudt, dient u ook aan de betrokkenen mede te delen dat er sprake is geweest van een inbreuk in verband met persoonsgegevens. U hoeft de betrokkene niet te informeren wanneer:
-u passende technische en organisatorische beschermingsmaatregelen heeft genomen, bijvoorbeeld in de vorm van versleuteling van de gegevens;
-u achteraf maatregelen heeft genomen waarmee de vastgestelde risico’s voor betrokkenen zijn weggenomen;
-de mededeling aan betrokkenen u onevenredig veel inspanning zou kosten. In dat geval kunt u volstaan met een openbare mededeling, bijvoorbeeld door de onder paragraaf 5.9.5 vereiste informatie te publiceren op uw website."
- “Wanneer u betrokkenen niet heeft geïnformeerd en de Autoriteit Persoonsgegevens is van mening dat dit alsnog moet gebeuren, dan kan zij haar handhavende bevoegdheden inzetten.”
- Indien het niet lukt om binnen 72 uur de melding te verrichten zal Storax een bericht voor vertraging verstrekken en zo veel mogelijk informatie verschaffen.
- De taken en verantwoordelijkheden van de Functionaris Gegevensbescherming (FG-taken en –verantwoordelijkheden) zijn als één geheel ondergebracht bij KAM Manager. De Directie en de KAM Manager dienen onmiddellijk te worden geïnformeerd en geraadpleegd bij een datalek of ander incident.
- Alles in het werk stellen om het datalek te onderzoeken en alle noodzakelijke maatregelen treffen om de oorzaak weg te nemen en om de gevolgen zo veel mogelijk te beperken.
- Storax zal de Autoriteit Persoonsgegevens de volgende gegevens verstrekken:
- de datum waarop het datalek heeft plaatsgevonden; indien geen (exacte) datum bekend is: de periode waarbinnen het datalek heeft plaatsgevonden);
- de datum waarop dit bekend geworden is bij Storax; indien geen (exacte) datum bekend is: de periode waarbinnen het datalek heeft plaatsgevonden;
- de aard, de omvang en – indien mogelijk – de oorzaak van de inbreuk;
- waar mogelijk de categorieën van betrokkenen, de persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
- indien van toepassing: omschrijving of en in hoeverre de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt;
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die Storax voorstelt of wil nemen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
- Indien Storax de betrokkene(n) informeren/informeert zal dit de volgende elementen te bevatten:
- een omschrijving van de aard van de inbreuk;
- de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk voor betrokkenen;
- de maatregelen die Storax voorstelt of wil nemen om de inbreuk aan te pakken, waaronder de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
- Alle (relevante) gegevens/feiten van het datalek en de daarmee samenhangende gevolgen registreren en tevens hoe er binnen Storax omgegaan dient te worden met het documenteren van de datalekken. Deze verplichting voor Storax als verwerkingsverantwoordelijke dient tevens om controle van het proces en de activiteiten mogelijk te maken.
- maatregelen om herhaling van het (betreffende) datalek te voorkomen.
Een en andere onder verwijzing naar de ‘
Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming’, o.a. “
5.9 Wat is de verplichting om een inbreuk in verband met persoonsgegevens mede te delen?”
Den Haag, 8 januari 2018, Ministerie van Justitie en Veiligheid
www.rijksoverheid.nl/avg