Protocol melden datalek
1. Inleiding
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. De meldplicht geldt sinds 2016. De AVG stelt strenge eisen aan de registratie van de datalekken in een organisatie. Organisaties moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of zij aan de meldplicht hebben voldaan.
Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Het kan gaan om een kwijtgeraakte USB-stick of een gestolen laptop met persoonsgegevens, maar ook om een inbraak in een datasysteem of per ongeluk verstrekte toegang tot gegevens aan personen of instanties die daartoe geen toegang zouden mogen hebben. Het verzenden van een e-mail aan een adressenbestand waarin alle e-mailadressen voor iedereen zichtbaar zijn is ook al een datalek.
Als sprake is van een ernstig datalek, dan zijn we op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om dit te melden aan de Autoriteit Persoonsgegevens (AP) en soms ook aan de betrokkenen.
Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek dan moet hij dat binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Als dat niet lukt, dan moet hij uitleggen waarom dat niet is gelukt. Ieder datalek moet worden gemeld, tenzij het onwaarschijnlijk is dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen (art. 33 AVG).
Ook aan degene(n) wiens persoonsgegevens (mogelijk) zijn gelekt moet melding worden gedaan als het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. De verwerkingsverantwoordelijke moet aan de betrokkene(n) laten weten dat zijn data mogelijk is gelekt, wat de aard is van het datalek en hoe hij de negatieve gevolgen die daaruit voortvloeien zo goed mogelijk kan beperken. (art. 34 AVG).
Melding aan de betrokkene(n) is niet nodig als de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen die de persoonsgegevens onbegrijpelijk maken voor derden en deze maatregelen zijn toegepast op de persoonsgegevens die zijn gelekt.
Melding is bovendien niet nodig als de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen waardoor het hoge risico voor de rechten en vrijheden van de betrokkene(n) waarschijnlijk is geweken.
Als de melding onevenredige inspanningen zou vergen, dan mag de verwerkingsverantwoordelijke volstaan met een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen doeltreffend worden geïnformeerd.
Om te zorgen voor een eenduidig beleid binnen onze vereniging en om te voorkomen dat datalekken die wel gemeld hadden moeten worden, dat niet worden en dat datalekken die niet gemeld hoeven te worden, dat wel worden, heeft L.T.C. Festina ervoor gekozen de meldingen centraal te laten verlopen via het Meldpunt Datalek Festina.
2. Het Meldpunt Datalek Festina
De leden van het Meldpunt Datalek Festina zijn:
• John Brouwer
• Just Hartsuiker
De meldingen kunnen worden ingediend bij:
- secretariaat@ltcfestina.nl
3. Het protocol
3.1 Onmiddellijk nadat een lid / medewerker ontdekt of ter ore komt dat sprake kan zijn van verlies of onrechtmatige verwerking van persoonsgegevens binnen L.T.C. Festina, meldt hij/zij dat aan het Meldpunt Datalek Festina.
3.2 Het Meldpunt Datalek Festina beslist of sprake is van een (mogelijk) datalek en zo ja, of dit datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en/of bij de betrokkene(n). Bij deze beslissing houdt zij het schema aan opgesteld door Van Iersel Luchtman Advocaten, klik hier.
3.3 Het Meldpunt Datalek Festina draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n).
Amsterdam, 1 juni 2018