Meesters in Duurzaamheid

Protocol meldplicht datalekken

Meesters in Duurzaamheid B.V. hecht belang aan een goede beveiliging van haar (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en worden verwerkt
het valt desalniettemin nooit volledig te voorkomen dat er een data lek zal plaatsvinden Meesters in Duurzaamheid B.V. is op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om (ernstige) data lekken te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen

Meesters in Duurzaamheid B.V. wenst aan haar wettelijke verplichtingen te voldoen en heeft daarom een beleid geformuleerd om zo adequaat mogelijk te handelen indien er onverhoopt toch een data lek plaatsvindt

1. Definitie data lek

1. Er is sprake van een data lek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

2. Interne verantwoordelijken melding data lekken

  1. Meesters in Duurzaamheid B.V. heeft interne verantwoordelijken voor de verwerking van data lekken aangesteld die verantwoordelijk zijn voor de melding van een data lek.
  2. Deze verantwoordelijken zijn: Sharon Manvis, telefoonnummer: 06-31796484; e- mailadres: info@meestersinduurzaamheid.nl

3. Interne melding bij ontdekking van een data lek

  1. Degene die een data lek bij Meesters in Duurzaamheid B.V. ontdekt, meldt dit per omgaande aan de interne verantwoordelijke.
  2. Indien mogelijk, zorgt degene die het data lek heeft ontdekt er gelijktijdig voor dat de gelekte gegevens meteen op afstand worden gewist of ontoegankelijk gemaakt.

4. Onderzoek door de interne verantwoordelijke

  1. De interne verantwoordelijke onderzoekt onder meer:
  2. Of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden wie of welke afdelingen binnen de organisatie betrokken zijn bij het data lek of er een verwerker betrokken is bij het incident

5. Bestrijding data lek

1. De interne verantwoordelijke stopt het data lek indien dat nog kan en neemt voorts de noodzakelijke maatregelen om het data lek zo goed mogelijk te bestrijden.

6. Vaststelling van de gevolgen van een data lek

1. De interne verantwoordelijke onderzoekt de mogelijke gevolgen van het data lek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen van de betrokkenen kan zijn.

7. Medewerking verstrekking gegevens omtrent het data lek

1. De ontdekker/melder van het data lek biedt alle medewerking aan de interne verantwoordelijk door zo snel en zo goed mogelijk (schriftelijk) antwoord te geven op de volgende vragen:

–  Wat is er gebeurd? (Omschrijving van het incident)

  • –  Ging het per ongeluk of is het veroorzaakt door kwade opzet (Denk aan gehackte gegevens)?
  • –  Wanneer is het gebeurd? (Datum en tijdstip)
  • –  Wanneer is het ontdekt?
  • –  Wat voor gegevens (registers) zijn gelekt?
  • –  Zijn de gegevens versleuteld, en zo ja hoe?
  • –  Konden de gegevens op afstand worden gewist of ontoegankelijk gemaakt, en zo ja, is dat gebeurd?
  • –  Wat zijn de mogelijke gevolgen voor de betrokkenen?
  • –  Welke groep(en) personen is/zijn hierdoor getroffen? (Bijvoorbeeld: leerlingen, patiënten, Premium leden)
  • –  Hoeveel personen zijn hierdoor (bij benadering) getroffen?
  • –  Zijn er ook gegevens van personen in andere EU-landen getroffen door het data lek?
  • –  Konden er al technische en/of organisatorische maatregelen worden getroffen naar aanleiding van het incident?

8. Beschikbaarheid personeel na ontdekking data lek

De verantwoordelijke van de afdeling vanuit waar het data lek heeft plaatsgevonden alsook de ontdekker van het data lek en iedereen die vanuit hun functie of kennis in staat is om organisatorische en/of technische maatregelen te treffen om de gevolgen van het data lek te beperken, houden zich de 1e 24 uur na ontdekking van het data lek beschikbaar voor overleg met de interne verantwoordelijke c.q. eventueel door hem aangewezen experts en voor het zo nodig uitvoeren van opgedragen werkzaamheden als gevolg van het data lek.

9. Beslissing melding data lekken

De interne verantwoordelijke beslist zo spoedig mogelijk doch in elk geval binnen 60 uur na ontdekking van het data lek – al dan niet in overleg met de verantwoordelijke van de afdeling vanuit waar het data lek is ontdekt en/of door hem aangewezen experts – of het data lek dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkenen.

Een data lek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het data lek een risico inhoudt voor de rechten en vrijheden van de betrokkenen.

De melding van het data lek gaat gepaard met beantwoording van de vragen zoals omschreven in onderdeel 7.

Een data lek dat gemeld is aan de Autoriteit Persoonsgegeven wordt eveneens gemeld aan de betrokkenen indien het

Een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.

10. Melding data lekken aan de Autoriteit Persoonsgegeven en/of betrokkenen

De interne verantwoordelijke draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n).

Melding geschiedt zo spoedig mogelijk na de ontdekking en uiterlijk binnen 72 uur na ontdekking van het data lek.

Het is enige andere werknemer dan de interne verantwoordelijke niet toegestaan om het (mogelijke) data lek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkene(n) te melden.

Als een werknemer het niet eens is met de beslissing van de interne verantwoordelijke omtrent het al dan niet melden van het data lek aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan kan hij zijn grieven kenbaar maken aan de directie.

Indien daartoe verzocht, verleent een werknemer alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het data lek.

11. Gevolgen melding data lekken

Indien het data lek negatieve gevolgen heeft voor betrokkenen, dan doet de interne verantwoordelijke er alles aan om deze gevolgen zoveel mogelijk te beperken.

Afhankelijk van de aard en de omvang van het data lek voor betrokkenen bepaalt de interne verantwoordelijke: Op welke wijze betrokkenen worden geïnformeerd (waaronder in ieder geval de mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke gevolgen zijn, welke maatregelen Meesters in Duurzaamheid B.V. neemt en op welke wijze betrokkenen zelf de schade kunnen voorkomen of beperken) welke nazorg betrokkenen krijgen welke acties in het belang van de organisatie noodzakelijk zijn

Indien een data lek heeft plaatsgevonden – ongeacht of deze is gemeld of niet – worden zo spoedig mogelijk adequate technische en/of organisatorische maatregelen getroffen om toekomstige gelijksoortige data lekken te voorkomen.

12. Bijhouden register data lekken

De interne verantwoordelijke houdt een register bij van alle data lekken, waarin alle gegevens rondom het data lek worden geregistreerd, zoals:

  • –  Een omschrijving van het incident
  • –  Datum en tijdstip van het data lek
  • –  Datum en tijdstip ontdekking van het data lek?
  • –  Omschrijving van de soort gelekte persoonsgegevens
  • –  Omschrijving van de categorie(en) van betrokkenen die zijn getroffen
  • –  Omschrijving aantal betrokkenen (bij benadering)
  • –  Of ook gegevens van personen in andere EU-landen zijn gelekt
  • –  Of het incident is gemeld aan de Autoriteit Persoonsgegevens en zo ja datum en tijdstip melding
  • –  Of het incident is gemeld aan de betrokkenen en zo ja, datum en tijdstip melding
  • –  Op welke wijze betrokkenen zijn geïnformeerd
  • –  De gevolgen van het data lek, met indien mogelijk vermelding van datum en tijdstip welke technische en/of organisatorische maatregelen zijn getroffen na het data lek, met vermelding van datum en tijdstip

Dit protocol meldplicht data lekken is opgemaakt in 2021 voor Meesters in Duurzaamheid B.V..