Melden datalek
1. Inleiding
Dit document beschrijft de verschillende stappen die binnen DJIM’sz genomen worden bij een datalek, die valt onder de Meldplicht Datalekken.
2. Verantwoordelijkheden
Functionaris & Verantwoordelijkheden
Directie: Aannemen en registreren van meldingen van datalekken
Directie: Melden van datalek bij Autoriteit Persoonsgegevens
Directie: Beoordelen en vastleggen van gevolgen en te nemen maatregelen
Directie: Fiatteren van maatregelen
Medewerkers: Melden van datalekken van persoonsgegevens
3. Beschrijving procedure
De meldplicht datalekken is een wijziging van de Wet Bescherming Persoonsgegevens en treedt in werking met ingang van 1 januari 2016. Bij een datalek is er sprake van een inbreuk op de beveiliging van persoonsgegevens (als bedoeld in artikel 13 van WBP. De persoonsgegevens zijn dan blootgesteld aan verlies of onrechtmatige verwerking.
Datalekken kunnen ontstaan door:
- Moedwillig handelen (cybercriminaliteit, hacken, identiteitsfraude, mailware besmetting);
- Technisch falen (ICT-storingen);
- Menselijk falen (te eenvoudige wachtwoorden/het verstrekken van username/wachtwoord aan collega’s en externen);
- Calamiteit (brand datacentrum, wateroverlast);
- Verloren USB-stick of laptop;
- Verzenden van email met emailadressen van alle geadresseerden;
- De onrechtmatige verwerking van gegevens.
3.1 Melden bij Autoriteit persoonsgegevens
3.1.1 Autoriteit persoonsgegevens
Een datalek moet onverwijld (binnen 72 uur) nadat de verantwoordelijke [1] binnen DJIM’sz er kennis van heeft genomen, bij de Autoriteit Persoonsgegevens gemeld worden. Het datalek moet ook worden gemeld bij de betrokkenen. In het geval van DJIM’sz zijn dit over het algemeen cliënten of medewerkers. Betrokkenen zijn degenen wiens persoonsgegevens zijn betrokken bij een inbreuk. De betrokkene moet onverwijld in kennis worden gesteld van de inbreuk, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. Een bewerker [2] is verplicht om een datalek te melden bij de verantwoordelijke.
1. Verantwoordelijke: Directie DJIM’sz. De verantwoordelijke heeft zeggenschap over doel en wijze van verwerking. Formeel, juridisch en feitelijk (functioneel) degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Degene die zeggenschap heeft en verantwoordelijk is over doel en middelen van verwerking en beslist over bewaartermijnen, verstrekking inzageverzoeken etc. De verantwoordelijke heeft de regierol (regie over het beheer van privacy in de keten);
2. Bewerker: degene die de gegevens ten behoeve van de verantwoordelijke verwerkt zonder aan zijn of haar rechtstreeks gezag te zijn onderworpen (ook extern). De bewerker verwerkt persoonsgegevens overeenkomstig de instructies en uiteindelijke verantwoordelijkheid van de verantwoordelijke. De bewerker neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens etc.
3.2 Stappenplan intern melden
3.2.1 Stap 1: Melden van datalek
De melding moet direct en telefonisch worden gedaan bij de directie en schriftelijk worden vastgelegd. De melding kan door iedere medewerker en iedere bewerker worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een medewerker van DJIM’sz. Buiten kantoortijden is de directie bereikbaar.
De directie legt vast:
- Naam van de melder;
- Datum en tijd van de melding;
- Aard van de inbreuk (is er aanmerkelijk risico op verlies of onrechtmatige verwerking?);
- Welke persoonsgegevens vallen onder de melding;
- Om welk aantal en/of gegevensrecords gaat het;
- Welke (groepen) personen zijn betrokken bij de melding;
- Welke maatregelen zijn of worden door de melder getroffen;
- Welke gevolgen zijn er volgens de melder voor de betrokkenen;
- De contactpersoon voor de melding.
3.2.2 Stap 2: Inventariseren gevolgen en te nemen maatregelen
Na ontvangst van een melding datalek wordt door de directie van DJIM’sz beoordeeld en vastgelegd:
- De noodzakelijke vervolgacties m.b.t. het datalek (lek onmiddellijk dichten, toegang tot informatie beperken en tegelijkertijd meer informatie vergaren over de indringer;
- Hetgeen gemeld gaat worden bij de Autoriteit Persoonsgegevens door de directie (naast aard inbreuk, welke persoonsgegevens, aantal betrokken personen/records):
- De mogelijke gevolgen voor de betrokkenen;
- De maatregelen die DJIM’sz neemt en/of kan nemen om de schade voor betrokkenen te verkleinen;
- De maatregelen die betrokkenen kunnen nemen om verdere schade te verkleinen, inclusief de wijze van inlichten hierover;
- Contactgegevens voor betrokkenen;
- De wijze van afhandeling intern, inclusief communicatie naar melder, betreffende afdeling(-en) en teamleider(s);
- Of er sprake is van eigen aansprakelijkheid, of aansprakelijkheid van derden, zoals uit hoofde van wanprestatie (omdat een geheimhoudingsverplichting is geschonden, of in strijd met een contractuele verplichting onvoldoende beveiliging is gerealiseerd) of onrechtmatige daad;
- Het al dan niet doen van aangifte en vaststellen of sprake is van strafrechtelijke verwijtbaarheid. Dit kan bijvoorbeeld spelen wanneer er sprake is van betrokkenheid vanuit DJIM’sz, een bewerker, of wanneer er onvoldoende maatregelen zijn getroffen om ongeregeldheden te voorkomen. Indien gewenst vindt overleg plaats met de juridisch adviseur;
- Hetgeen intern gecommuniceerd wordt, op welk moment;
- Hetgeen extern gecommuniceerd wordt, op welk moment. Er wordt vastgesteld of de pers geïnformeerd moet worden;
- Of naast de Autoriteit Persoonsgegevens ook andere stakeholders geïnformeerd worden;
- Op welke wijze er intern wordt gerapporteerd, inclusief actiehouder;
- Of eventuele schade is gedekt door de verzekeringspolis.
Eventuele verbeter-/beheersmaatregelen worden vastgelegd.
3.2.3 Stap 3: Fiattering
De directie accordeert de uit te voeren activiteiten, zoals vastgesteld, of stelt de uit te voeren activiteiten bij. De door de directie vastgestelde activiteiten worden uitgevoerd.
3.2.4 Stap 4: Melding bij Autoriteit Persoonsgegevens
De directie meldt binnen 72 uur het datalek bij de Autoriteit Persoonsgegevens. In ieder geval zal gemeld moeten worden:
- Aard van de inbreuk, waaronder betrokken categorieën, aantal betrokkenen, aantal gegevensrecords;
- Beschrijving van de te verwachten gevolgen;
- Getroffen en/of voorgestelde maatregelen;
- Informatie over te nemen maatregelen door de betrokkene om de nadelige gevolgen te beperken;
- Contactgegevens voor betrokkene;
3.2.5 Stap 5: ontvangstbevestiging Autoriteit Persoonsgegevens
Is er een melding gedaan, dan ontvangt DJIM’sz een ontvangstbevestiging. Bij de meldingen die aanleiding geven tot nadere actie door de Autoriteit Persoonsgegevens, zal de Autoriteit Persoonsgegevens contact opnemen met DJIM’sz om de herkomst van de melding te verifiëren.
4. Referenties
- P 50.1 Klachten en meldingen
- P 50.2 Preventieve en corrigerende maatregelen