Omgang met datalekken binnen Het Handje: verschil tussen versies

Achtergrond

Binnen Het Handje vinden we de bescherming van persoonsgegevens van het grootste belang. In het geval van een datalek, dienen alle medewerkers zich bewust te zijn van de juiste stappen om het incident aan te pakken. Hier volgen gedetailleerde instructies om ervoor te zorgen dat datalekken correct worden behandeld en gemeld.

Definitie van een Datalek

Een datalek wordt in de Algemene verordening gegevensbescherming (AVG) een 'inbreuk in verband met persoonsgegevens' genoemd. Een inbreuk in verband met persoonsgegevens ontstaat bij een inbreuk op de beveiliging (voorbeeld: het laten liggen van een laptop op een onbeheerde plaats) die leidt tot het verlies, ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Een datalek vereist dus dat er niet alleen een inbreuk op de beveiliging heeft plaatsgevonden, maar ook dat hierbij persoonsgegevens betrokken zijn.

Meer informatie over wat een datalek is, of wil je voorbeelden van datalekken? Raadpleeg dan de pagina Datalekken.

Stappen bij een beveiligingsincident en datalek

Heb je te maken met een beveiligingsincident en datalek? Registreer het incident dan altijd in RegiServ. Ook bij twijfel of je wel te maken hebt met een beveiligingsincident of datalek. De reden hiervoor is dat we liever het zekere voor het onzekere nemen. Ook kan het zomaar zijn dat een incident wat nu (nog) geen datalek is, zich alsnog ontwikkelt in een datalek (voorbeeld: een beveiligde laptop die is blijven liggen op een onbeheerde plaats, waarop ingebroken wordt ondanks de genomen beveiligingsmaatregelen). De registratie in RegiServ dient daarnaast als wettelijk verplichte interne registratie van een eventueel datalek.

Vervolgens zijn de volgende acties enorm belangrijk wanneer een incident geregistreerd is:

1. De registratie in RegiServ controleren (door privacyaanspreekpunten) en hierbij:
   • Geconstateerde datalek(ken) oplossen.
   • Maatregelen treffen om herhaling te voorkomen.
2. Administratieve Handelingen:
   • De melding in RegiServ aanpassen en updaten bij nieuwe of aangepaste informatie.
   • In geval van een risico voor de betrokkene(n), het datalek melden bij de Autoriteit Persoonsgegevens.
   • In geval van een hoog risico voor de betrokkene(n), het datalek ook melden aan de betrokkene(n).

Meer informatie over hoe bepaald wordt of er een risico is voor de betrokkene(n) en hoe hoog dat risico is? Check dan: Datalekken.

Informatie en registratie in RegiServ

Om zo snel en passend mogelijk actie te kunnen ondernemen op een eventueel datalek, is het van belang dat de juiste informatie wordt opgenomen in RegiServ bij het doen van een melding. Probeer daarom in ieder geval de volgende informatie op te nemen wanneer je een incident meldt/registreert in RegiServ:

• Omschrijving van het incident (en datalek).
• Wanneer van toepassing: categorieën persoonsgegevens en betrokkenen.
• Wanneer duidelijk: mogelijke gevolgen.
• Partijen betrokken bij het incident en het (mogelijke) datalek.
• Wanneer van toepassing: de genomen maatregelen om het incident (of datalek) te verhelpen.

Na het doen van de interne registratie is het aan de privacyaanspreekpunten binnen Het Handje om met zekerheid te bepalen of:

• het gaat om een datalek;
• er een melding gemaakt dient te worden aan de Autoriteit Persoonsgegevens (bij risico);
• er eveneens een melding gemaakt dient te worden aan de betrokkene(n) (bij hoog risico).

Melden aan de Autoriteit Persoonsgegevens

• Niet elk datalek hoeft gemeld te worden. Alleen als er sprake is van een risico voor de rechten en vrijheden van betrokkenen.
• Melden moet zo snel mogelijk, uiterlijk binnen 72 uur na ontdekking, via de website van de Autoriteit Persoonsgegevens.

Let op: bovenstaande stappen worden doorlopen door het privacyaanspreekpunt. Een melding wordt nooit op eigen initiatief gedaan door andere personen.

Melden aan Betrokkenen

• Bij een hoog risico voor betrokkenen, onmiddellijk melden aan de toezichthouder en betrokkenen.
• Informeer betrokkenen schriftelijk (per e-mail of brief).

Let op: bovenstaande stappen worden doorlopen door het privacyaanspreekpunt. Een melding wordt nooit op eigen initiatief gedaan door andere personen.

Verantwoordelijkheid

Alle medewerkers van Het Handje hebben de verantwoordelijkheid om zich bewust te zijn van deze instructies en ze nauwgezet te volgen in geval van een incident wat (mogelijk) leidt tot een datalek. Bij vragen of onduidelijkheden, neem direct contact op met een van de privacyaanspreekpunten.

Bedankt voor jullie toewijding aan de bescherming van persoonsgegevens bij Het Handje. Samen zorgen we voor een veilige digitale omgeving!