Protocol meldplicht datalekken

Dit protocol meldplicht datalekken is van toepassing op RVO Administratie (onderdeel van RVO Dienstverlening), gevestigd te 1704ZJ Heerhugowaard aan Zonnehof 11, KvK-nummer 76661334.

a. Overwegingen

  1. RVO Administratie hecht belang aan een goede beveiliging van haar (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en worden verwerkt.
  2. Het valt desalniettemin nooit volledig te voorkomen dat er een datalek zal plaatsvinden.
  3. RVO Administratie is op grond van de Algemene Vordering Persoonsgegevens (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen.
  4. RVO Administratie wenst aan haar wettelijke verplichtingen te voldoen.
  5. RVO Administratie heeft daarom een beleid geformuleerd om zo adequaat mogelijk te handelen indien er onverhoopt toch een datalek plaatsvindt.

b. Definitie datalek

Er is sprake van een datalek wanneer er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

c. Interne verantwoordelijkheden melding datalekken

  1. RVO Administratie heeft een interne verantwoordelijke voor de verwerking van datalekken aangesteld die verantwoordelijk is voor de melding van een datalek.
  2. Deze verantwoordelijke is Ruben van Opstal, tel. nr. 06 – 48 45 40 91, email: info@rvo-administratie.nl.
  3. Indien bovengenoemde niet bereikbaar is: Stef Lengers, tel. nr. 06 – 37 32 82 49, email: stef@rvo-administratie.nl.
  4. Beide bovengenoemde hierna te noemen: interne verantwoordelijke.

d. Interne melding bij ontdekking van een datalek

  1. Degene die een datalek bij RVO Administratie ontdekt meldt dit zo snel mogelijk aan de interne verantwoordelijke.
  2. Indien mogelijk zorgt degene die het datalek heeft ontdekt er gelijktijdig voor dat de gelekte gegevens meteen op afstand worden gewist of ontoegankelijk worden gemaakt.

e. Onderzoek door de interne verantwoordelijke

De interne verantwoordelijke onderzoekt onder meer:

  1. Of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruik kunnen worden,
  2. Wie of welke afdelingen binnen de organisatie betrokken zijn bij het datalek,
  3. Of er een verwerker betrokken is bij het incident.

f. Bestrijding datalek

De interne verantwoordelijke stopt het datalek indien dat nog kan en neemt de noodzakelijke maatregelen om het datalek zo goed als mogelijk te bestrijden.

g. Vaststelling van de gevolgen van een datalek

De interne verantwoordelijke onderzoekt of de mogelijke gevolgen van het datalek aan de hand van de aard en omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen van de betrokkenen kan zijn. 

h. Medewerking verstrekking gegevens omtrent het datalek

De ontdekker/melder van het datalek biedt alle medewerking aan de interne verantwoordelijke door zo snel en goed mogelijk (schriftelijk) antwoord te geven op de volgende vragen:

  1. Wat is er gebeurd (omschrijving van het incident)?
  2. Ging het per ongeluk of is het veroorzaakt door kwade opzet (denk aan gehackte gegevens)?
  3. Wanneer is het gebeurd (datum en tijdstip)?
  4. Wanneer is het ontdekt (datum en tijdstip)?
  5. Wat voor gegevens zijn er gelekt?
  6. Zijn de gegevens versleuteld, en zo ja hoe?
  7. Konden de gegevens op afstand worden gewist of ontoegankelijk worden gemaakt, en zo ja, is dat gebeurd?
  8. Wat zijn de mogelijke gevolgen voor de betrokkenen?
  9. Welke groep(en) personen is/zijn hierdoor getroffen?
  10. Hoeveel personen zijn hierdoor getroffen?
  11. Zijn er ook gegevens van personen in ander EU-landen getroffen door het datalek?
  12. Konden er al technische en/of organisatorische maatregelen worden getroffen naar aanleiding van het incident?

i. Beschikbaarheid personeel na ontdekking datalek

De interne verantwoordelijke alsmede de ontdekker van het datalek houden zich de eerste 24 uur na ontdekking van het datalek beschikbaar voor overleg met de interne verantwoordelijke of eventueel door hem aangewezen experts en voor het zo nodig uitvoeren van opgedragen werkzaamheden als gevolg van het datalek.

j. Beslissing melding datalek

  1. De interne verantwoordelijke beslist zo spoedig mogelijk of het datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkenen.
  2. Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen.
  3. De melding van het datalek gaat gepaard met beantwoording van de vragen zoals beschreven in onderdeel h.
  4. Een datalek dat gemeld is aan de Autoriteit Persoonsgegevens wordt eveneens gemeld aan de betrokkenen indien het een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen tenzij inmiddels passende maatregelen zijn genomen dat het risico heeft afgewend. 

k. Melding datalekken aan de Autoriteit Persoonsgegevens en/of betrokkenen

  1. De interne verantwoordelijke draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkenen.
  2. Melding geschiedt zo spoedig mogelijk en uiterlijk binnen 72 uur na ontdekking van het datalek.
  3. Het is enige andere werknemer dan de interne verantwoordelijke niet toegestaan om een datalek zelf aan de Autoriteit Persoonsgegevens en/of betrokkenen te melden.
  4. Als een werknemer het eens is met de beslissing van de interne verantwoordelijke omtrent het al dan niet melden van het datalek aan de Autoriteit Persoonsgegevens en/of de betrokkenen dan kan hij zijn grieven kenbaar maken aan de directie.
  5. Indien daartoe verzocht verleent een werknemer alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek.

l. Gevolgen melding datalekken

  1. Indien het datalek negatieve gevolgen heeft voor de betrokkenen dan doet de interne verantwoordelijke er alles aan om deze gevolgen zo veel mogelijk te beperken.
  2. Afhankelijk van de aard en omvang van het datalek voor betrokkenen bepaalt de interne verantwoordelijke:
    1. Op welke wijze betrokkenen worden geïnformeerd
    2. Welke nazorg betrokkenen krijgen
    3. Welke acties in het belang van de organisatie noodzakelijk zijn
  3. Indien een datalek heeft plaatsgevonden – ongeacht of deze is gemeld of niet – worden zo spoedig mogelijk adequate technische en/of organisatorische maatregelen getroffen om gelijksoortige datalekken in de toekomst te voorkomen.

m. Bijhouden register datalekken

De interne verantwoordelijke houdt een register bij van alle datalekken waarin alle gegevens rondom een datalek worden geregistreerd, zoals:

  1. Een omschrijving van het incident
  2. Een datum en tijdstip van het datalek
  3. Een datum en tijdstip van ontdekking van het datalek
  4. Een omschrijving van de soort gelekte gegevens
  5. Een omschrijving van de categorieën van betrokkenen die zijn getroffen,
  6. Een omschrijving van het aantal betrokkenen,
  7. Of er gegevens van personen in andere EU-landen zijn gelekt,
  8. Of het incident is gemeld bij de Autoriteit Persoonsgegevens (zo ja: wanneer?)
  9. Of het incident is gemeld bij de betrokkenen (zo ja: wanneer?)
  10. Op welke wijze de betrokkenen zijn geïnformeerd
  11. De gevolgen van het datalek
  12. Welke technische en/of organisatorische maatregelen zijn getroffen na het datalek met hierbij vermelding van datum en tijdstip van de maatregel.