Home / Protocol melden datalek

Protocol melden datalek

Protocol melden datalek
 

1.Inleiding

Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Het kan gaan om een kwijtgeraakte USB-stick of een gestolen laptop met persoonsgegevens, maar ook om een inbraak in een datasysteem of per ongeluk verstrekte toegang tot gegevens aan personen of instanties die daartoe geen toegang zouden mogen hebben. Het verzenden van een e-mail aan een adressenbestand waarin alle e-mailadressen voor iedereen zichtbaar zijn is ook al een datalek. Als sprake is van een ernstig datalek, dan zijn we op grond van de Algemene verordening gegevensbescherming(AVG) verplicht om dit te melden aan de Autoriteit Persoonsgegevens en soms ook aan de betrokkenen.Om te zorgen voor een eenduidig beleid binnen onze organisatie en om te voorkomen dat datalekken die wel gemeld hadden moeten worden, dat niet worden en dat datalekken die niet gemeld hoeven te worden, dat wel worden, heeft [organisatienaam]ervoor gekozen de meldingen centraal te laten verlopen via het meldpunt datalek [organisatienaam].

2. Het meldpunt datalek BigMove

De leden van het meldpunt datalek BigMove zijn:

  • Willem Driessen (operationeel directeur)
  • Marloes Lutgerhorst of Karin Blankerts (support& control)
     

Contact: BigMove Jaarbeursplein 6, 3521 AL Utrecht, tel: 088-6600999

3. Het protocol

3.1 Onmiddellijk nadat een medewerker/vrijwilliger ontdekt of ter ore komt dat sprake kan zijn van verlies of onrechtmatige verwerking van persoonsgegevens binnen BigMove, meldt hij dat aan het meldpunt datalek BigMove

3.2 Het meldpunt datalek BigMove beslist of sprake is van een (mogelijk) datalek en zo ja, of dit datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en/of bij de betrokkene(n).

Als u niet zeker weet of bij een beveiligingsincident sprake is van een datalek, dan kunt u een  melding doen bij de Autoriteit Persoonsgegevens op basis van de gegevens die u heeft. Mocht achteraf blijken dat er geen persoonsgegevens zijn gelekt, dan kunt u de melding alsnog intrekken. U heeft in dat geval in elk geval voldaan aan uw plicht om potentiële datalekken binnen 72 uur na constatering te melden.

3.3 Het meldpunt datalek BigMove draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n). Het is de werknemer niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkene(n)te melden.

3.4 Als de medewerker/vrijwilliger het niet eens is met de beslissing van het meldpunt datalek BigMove om het (mogelijke) datalek wel -of niet te melden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan richt hij zich tot de directie (Stefan van den Oever/ directeur).

4. Bij de constatering van een datalek doet u een melding bij de Autoriteit Persoonsgegevens

Meld hier een datalek bij Autoriteit Persoonsgegevens

Hierin vermelden:

  • Aard van de inbreuk: er moeten gegevens ‘gelekt zijn’
  • Waar kan meer informatie verkregen worden
  • Aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
  • Beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens
  • De maatregelen die u heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen
     

5. De Autoriteit Persoonsgegevens kijkt wat er precies aan de hand is

Zo nodig, geeft de Autoriteit Persoonsgegevens aan dat u het datalek alsnog moet melden bij de patiënt of cliënt. De Autoriteit Persoonsgegevens neemt de meldingen op in een vertrouwelijk register (dus niet openbaar).

De Autoriteit Persoonsgegevens bekijkt of u de wet heeft nageleefd en of er sprake is van opzet of nalatigheid.

Zo mogelijk volgt een aanwijzing of boete.