Protocol bij datalekken

1. Vaststellen van een datalek en toepasselijkheid van de AVG

Wanneer een datalek zich voordoet is snel handelen noodzaak. Een datalek dient binnen 72 uur na de ontdekking te worden gemeld door de opdrachtgever aan de Autoriteit Persoonsgegevens. Nadenken wat te doen als een datalek zich voordoet is vaak te laat. Daarom is er het protocol bij datalekken opgesteld, zodat Medewerkersbeleving meteen kan ingrijpen als een datalek zich voordoet.

Om te bepalen of het protocol bij datalekken gebruikt dient te worden moet er eerste bepaald worden of de Algemene Verordening Gegevensbescherming (AVG) van toepassing is en of er sprake is van een datalek.

1.1 Is de AVG en daarmee de meldplicht van toepassing?

De AVG is van toepassing indien de drie onderstaande vragen bevestigend worden beantwoord:

  1. Worden er persoonsgegevens verwerkt?
  2. Worden de gegevens geheel of gedeeltelijk geautomatiseerd verwerkt?
  3. Vindt de verwerking plaats in het kader van een professionele, zakelijke of commerciële activiteit?

1.2 Is er sprake van een datalek?

Een beveiligingsincident wordt als een datalek beschouwd wanneer ten minste één van de volgende situaties zich voordoet:

  1. Verlies van persoonsgegevens
  2. Onrechtmatige toegang tot persoonsgegevens
  3. Ongeoorloofde openbaarmaking van persoonsgegevens
  4. Ongeoorloofde wijziging van persoonsgegevens
  5. Diefstal of verlies van apparatuur waarop persoonsgegevens staan
  6. Fysieke inbraak waarbij gegevens zijn gestolen
  7. Dataverlies door ransomware of andere cyberaanvallen
  8. Slechte beveiligingsmaatregelen die leiden tot gegevensinbreuken
  9. Onbedoelde vernietiging van persoonsgegevens zonder herstelmogelijkheid

2. Protocol bij datalekken

De verwerkingsverantwoordelijke (ook wel de opdrachtgever) is degene die de Autoriteit Persoonsgegevens en de Betrokkenen informeert over het datalek. Nadat er is vastgelegd dat er sprake is van een datalek, en dat de meldplicht van toepassing is wordt het volgende protocol gevolgd:

  1. Medewerkersbeleving informeert de opdrachtgever zo spoedig mogelijk over het datalek.
  2. Medewerkersbeleving spoort de opdrachtgever aan om zo spoedig de Autoriteit Persoonsgegevens (AP) te informeren via het meldingsformulier van de AP, uiterlijk 72 uur nadat er kennis is genomen van het datalek.*
  3. Medewerkersbeleving zal monitoren of de verwerkingsverantwoordelijke zijn/haar plicht nakomt tot het melden van het datalek aan de Autoriteit Persoonsgegevens. Indien wij vaststellen dat dat niet het geval is zullen wij diegene nogmaals aansporen. Bij uitblijven van enige actie zullen wij zelf de melding doen bij de AP.
  4. Medewerkersbeleving stelt een helder informatiebericht op over het datalek t.b.v belanghebbenden.
  5. Medewerkersbeleving gaat samen met de opdrachtgever een gezamenlijke strategie realiseren om ervoor dat er een eenduidig beeld naar buiten wordt gebracht. Dat voorkomt misverstanden en het beperkt de reputatieschade.
  6. Medewerkersbeleving spoort de opdrachtgever aan om de betrokkenen (respondenten) te informeren over het datalek en de mogelijke consequenties. Ook hierbij is een eenduidige berichtgeving wenselijk.

*Meldingsformulier: https://datalekken.autoriteitpersoonsgegevens.nl/

Vraag een vrijblijvend kennismakingsgesprek aan

Wilt u diepgaande inzichten krijgen in de ervaringen en belevingen van uw medewerkers, die u in staat stellen om waar nodig gerichte interventies te creëren? Dien dan via de onderstaande knop een aanvraag in voor een vrijblijvend kennismakingsgesprek.

Aanvraag indienen