Organisatie | Uitvoeringsorganisatie Laborijn |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Besluit van het dagelijks bestuur van de Uitvoeringsorganisatie Laborijn houdende regels omtrent datalekken Procedure Melden Datalek |
Citeertitel | Procedure Melden Datalek |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
31-07-2018 | nieuwe regeling | 06-07-2018 |
Laborijn verwerkt in haar dienstverlenings- en bedrijfsvoeringsprocessen een omvangrijke hoeveelheid persoonsgegevens, zowel van klanten als van medewerkers. Op deze verwerkingen is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. In deze wet is de meldplicht integraal opgenomen.
Met de Meldplicht Datalekken wil de wetgever de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Indien er sprake is van een ernstig datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, moet de verantwoordelijke het datalek melden aan de Autoriteit Persoonsgegevens. In een aantal gevallen moet het datalek ook gemeld worden aan de betrokkenen. Als er ten onrechte geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete door de Autoriteit Persoonsgegevens.
Bij een datalek gaat het om toegang tot, of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zónder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoons-gegevens en niet-geautoriseerde toegang tot deze persoonsgegevens. Er is dus niet alleen sprake van een datalek bij een inbraak door een hacker. Ook het kwijtraken van een (onversleutelde) USB-stick, de diefstal van een laptop, het verzenden van gevoelige gegevens naar een onjuist e-mailadres of het verlies van gegevens bij een brand in het datacentrum terwijl er geen back-up beschikbaar is, zijn voorbeelden van een datalek.
Wanneer moeten we een melding doen ?
Volgens de wet moet een ‘ernstig’ datalek, zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, worden gemeld aan de Autoriteit Persoonsgegevens.
Een lek kan ernstig zijn indien er persoonsgegevens van gevoelige aard zijn gelekt, bijvoorbeeld: inloggegevens, financiële gegevens, kopieën van identiteitsbewijzen of gegevens die betrekking hebben op godsdienst of levensovertuiging, ras, politieke gezindheid, of gezondheid. Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. De aard en omvang van het datalek spelen hierbij dus een belangrijke rol. Laborijn hoeft geen melding te doen aan de Autoriteit Persoonsgegevens indien daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten.
Een datalek moet aan de betrokkene worden gemeld als bij een inbreuk het risico groot is dat die inbreuk ongunstige gevolgen zal hebben voor diens privéleven. Ongunstige gevolgen voor de betrokkene zijn: aantasting in eer en goede naam, identiteitsfraude of discriminatie. Als Laborijn passende technische beschermingsmaatregelen heeft genomen, waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn gemaakt, is de melding aan de betrokkene niet nodig.
Laborijn houdt zelf een register bij van alle datalekken. Dus ook van de datalekken die niet gemeld hoeven te worden. Dit register is voor iedereen beschikbaar.
Laborijn is verantwoordelijk voor de verwerking van persoonsgegevens, ook als de verwerking (gedeeltelijk) wordt uitgevoerd door een derde partij. Laborijn blijft eindverantwoordelijk voor de melding van een datalek bij de Autoriteit Persoonsgegevens.
Het bestuur van Laborijn is aansprakelijk voor de eventuele schade die ontstaat bij een datalek en moet hiervan melding doen aan de Autoriteit Persoonsgegevens en eventueel bij de betrokkene(n).
Er doet zich een gebeurtenis voor die een inbreuk is op de beveiliging.
De FG maakt melding van het datalek bij de Autoriteit Persoonsgegevens. Hiervoor gebruikt hij het online formulier op het meldloket van de AP. De FG is aanspreekpunt voor de AP en voorziet de AP voor zover nodig van nadere toelichting. Eventuele aanwijzingen van de AP worden vastgelegd en opgevolgd.
De FG meldt het datalek onverwijld aan de betrokkene(n). Dit houdt in dat de verantwoordelijke, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek zodat de betrokkene(n) op een behoorlijke en zorgvuldige manier kan/kunnen worden geïnformeerd. In de kennisgeving wordt ten minste vermeld:
De FG analyseert jaarlijks de ontvangen meldingen en rapporteert hierover aan het MT. Indien nodig wordt dit rapport voorzien van een verbeterplan.
De concerncontroller beoordeelt jaarlijks of de procedure, en de uitvoering ervan, met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen, wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de procedure.
Bijlage 1 PROCEDURE 1: is meldplichtprocedure datalek van toepassing?
… sprake is van verwerking van persoonsgegevens (elk gegeven betreffende een geïdentificeerde of identificeerbare persoon, zoals NAW-gegevens, IP-adressen en foto’s). Verwerking van persoonsgegevens betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, raadplegen en verspreiden.
… de AVG op de verwerking van toepassing is. Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de AVG, bijvoorbeeld verwerkingen ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Daarnaast is van belang waar de activiteiten plaatsvinden waarvoor de persoonsgegevens worden verwerkt en waar de al dan niet geautomatiseerde middelen zich bevinden die bij de verwerking worden gebruikt (in een ander land).
Bijlage 3 PROCEDURE 3: moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens?
Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens indien sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval indien één van de volgende situaties aan de orde is:
Bijlage 4 PROCEDURE 4: moet het datalek worden gemeld aan de betrokkene?
Het datalek hoeft niet te worden gemeld aan de betrokkene(n) indien één van de volgende situaties zich voordoet:
er zijn passende technische beschermingsmaatregelen genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, bijvoorbeeld door adequate encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code);
andere technische beschermingsmaatregelen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten, bijvoorbeeld door een tijdige en adequate remote wiping (het op afstand wissen van de gegevens die op een apparaat staan) en pseudonimisering (technische maatregelen om te voorkomen dat persoonsgegevens worden gekoppeld aan de oorspronkelijke identiteit van de betrokkene);
In de kennisgeving aan de betrokkene moet in ieder geval worden vermeld:
Het datalek moet onverwijld worden gemeld. Dit houdt in dat de verantwoordelijke, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek zodat betrokkene op een behoorlijke en zorgvuldige manier kan worden geïnformeerd.