PROTOCOL DATALEKKEN VERWERKER

Artikel 33 van de AVG bepaalt dat de verwerker de verwerkingsverantwoordelijke zonder onredelijke vertraging informeert zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Redfoxblue gevestigd te 2131BD Hoofddorp aan de Hoofdweg 739 en ingeschreven in het register van de Kamer van Koophandel onder nummer 17127556, hierna “verwerkersverantwoordelijke”, hanteert onderstaand protocol in geval van datalekken

 

 

Inleiding

De verwerkingsverantwoordelijke meldt de inbreuk in verband met persoonsgegevens (datalek) direct, binnen 72 uur, bij de Autoriteit Persoonsgegevens (’AP’), tenzij het onwaarschijnlijk is dat het datalek leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen. Daarnaast wordt het datalek ook aan de betrokkene gemeld indien het waarschijnlijk een groot risico voor de rechten en vrijheden van de betrokkenen veroorzaakt. De verwerkingsverantwoordelijke maakt de afweging om deze melding te doen.

Dit protocol datalekken is bedoeld als hulpmiddel voor de beantwoording van de vraag wat er gedaan moet worden als er een datalek optreedt.

 

1: Wat is een datalek?

Er is sprake van een datalek als er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. Alleen een dreiging of een tekortkoming in de beveiliging is niet voldoende; er moet daadwerkelijk persoonsgegevens gelekt zijn.

Onder een datalek verstaat de AP persoonsgegevens die zijn gelekt of vernietigd door een beveiligingsincident. Bij het lek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Bij verlies zijn de persoonsgegevens er niet meer. Onder onrechtmatige verwerking vallen bijvoorbeeld onbevoegde kennisneming, wijziging, aantasting of de verstrekking daarvan.

Voorbeelden van inbreuken in verband met persoonsgegevens kunnen zijn:

  • kwijtraken van een USB -stick
  • diefstal van een laptop
  • inbraak door een hacker
  • persoonsgegevens per ongeluk gepubliceerd
  • hacking, malware of phishing
  • persoonsgegevens aan verkeerde persoon verstuurd
  • calamiteiten zoals brand in een datacentrum

 

2: Contactpersoon aanwijzen

De verwerkersverantwoordelijke heeft een eigen contactpersoon aangewezen aan wie eventuele datalekken gemeld moeten worden: Bas van Rossem (hierna: ‘Contactpersoon”)

 

 

 

3: Informeren medewerkers (Franchisenemers hebben doorgaans maar één medeweker)

Medewerkers binnen de organisatie zijn zich ervan bewust dat als er sprake is van een datalek, zij dit datalek direct (diezelfde dag nog) moeten melden bij de aangewezen Contactpersoon, zodat deze tijdig het datalek kan melden bij de Verwerkingsverantwoordelijke (de klant). Medewerkers dienen bekend te zijn met het in dit protocol opgenomen stappenplan.

 

4: Uitvoeren van het stappenplan Datalekken

De binnen de organisatie aangewezen Contactpersoon draagt zorg voor de invoering en naleving van het hieronder opgenomen stappenplan Datalekken. Indien er een datalek optreedt dienen de stappen in het stappenplan Datalekken doorlopen te worden. De manager die hieronder wordt genoemd is doorgaans de manager van de opdrachtgever voor wie de werkzaamheden worden uitgevoerd.

 

STAPPENPLAN DATALEKKEN

Processtappen Activiteit Verantwoordelijke persoon
1. Ontdekking (mogelijke) datalek

 

·     Ontdekker maakt direct intern melding van (mogelijke) datalek

·     Ontdekker informeert de verantwoordelijke Contactpersoon

Medewerker die het ontdekt
2. Beoordeling

datalek

·       Het beveiligingsincident wordt onderzocht

·       Er wordt onderzocht of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden

·       Er wordt beoordeeld wie of welke afdelingen binnen de organisatie hierbij betrokken zijn

·       Er wordt beoordeeld of er een sub-verwerker betrokken is bij het incident. Zo ja, dan wordt deze direct bij het proces betrokken

Manager van afdeling waar binnen het datalek heeft plaatsgebonden;

Manager van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT);

Aangewezen Contactpersoon

 

3. Bestrijding

datalek

·       Het datalek wordt als het nog kan gestopt

·       Er worden andere maatregelen genomen om het datalek en de daaruit voortvloeiende schade te beperkten

·       De acties van de genomen maatregelen worden vastgesteld in het dossier

Manager van afdeling waar binnen het datalek heeft plaatsgebonden;

Manager van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT);

Aangewezen Contactpersoon

 

4. Vaststelling

impact van het

datalek

·       Het datalek en de gevolgen daarvan worden onderzocht

·       De aard van de gegevens die gelekt zijn worden onderzocht. Bijv. bijzondere persoonsgegevens, wachtwoorden, gegevens over financiële situatie of die kunnen leiden tot stigmatisering/misbruik

·       De omvang van de gelekte gegevens wordt onderzocht

·       Er wordt beoordeeld welke impact het lek kan hebben op de betrokken personen

·       Vastgesteld wordt wat de nadelige gevolgen kunnen zijn

Manager van afdeling waar binnen het datalek heeft plaatsgebonden;

Manager van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT);

Aangewezen Contactpersoon

Functionaris Gegevensbescherming

 

5. Vastlegging

aanpak

·       De aanpak wordt bepaald

·       Bepaald wordt of de verwerkingsverantwoordelijke geïnformeerd moet worden

·       Bepaald worden de acties voor belang van de organisatie en de verwerkingsverantwoordelijke

·       Acties voor verbetering van de beveiliging worden bepaald

Manager van afdeling waar binnen het datalek heeft plaatsgebonden

Manger van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT)

Aangewezen Contactpersoon

Functionaris Gegevensbescherming

 

6. Melding

Verwerkings-

verantwoordelijke

·       Datalek wordt zo snel mogelijk  (iig binnen 24 uur) via mail en telefonisch bij de juiste contactpersoon binnen de verwerkings-verantwoordelijke gemeld

·       Meegedeeld wordt wat er is gebeurd, welke persoonsgegevens getroffen zijn, aard van de inbreuk en wat de mogelijke gevolgen van het datalek kunnen zijn

·       Geïnformeerd wordt over de maatregelen die de organisatie neemt en die de verwerkings-verantwoordelijke of de betrokkene zelf kan nemen om schade te voorkomen

Aangewezen Contactpersoon

Functionaris Gegevensbescherming

Directie

Marketing/communicatie

 

7. Assistentie van

Verwerkings-

verantwoordelijke

·       Op verzoek van verwerkingsverantwoordelijke zal de organisatie aanvullende informatie verstrekken Manager van afdeling waar binnen het datalek heeft plaatsgebonden

Manger van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT)

Aangewezen Contactpersoon

Functionaris Gegevensbescherming

8. Uitvoering

Herstel-

werkzaamheden

·       Het datalek wordt hersteld

·       De beveiliging wordt verbeterd

·       Eventueel wordt de verwerkings-verantwoordelijke over de getroffen maatregelen geïnformeerd

Manger van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT)

Aangewezen Contactpersoon

9. Optimalisatie van

het beveiliging en

het Datalek

proces

·       De beveiliging en het proces inzake melding datalekken wordt geregistreerd, geëvalueerd en verbeterd Aangewezen Contactpersoon

Functionaris Gegevensbescherming

Directie

Manger van de afdeling die verantwoordelijk is voor de beveiligingsincidenten (bijvoorbeeld IT)

 

 

Sub-verwerker

Het kan gebeuren dat het datalek optreedt bij de sub-verwerker. De organisatie is en blijft (als hoofd verwerker) altijd verantwoordelijk voor het datalek jegens de verwerkingsverantwoordelijke. De sub-verwerker zal bij de stappen betrokken moeten worden.

 

Via de sub-verwerkersovereenkomst is afgedwongen dat de sub-verwerker eventuele datalekken terstond (binnen bijvoorbeeld 12 uur) meldt bij de organisatie en de organisatie helpt met het verstrekken van de benodigde informatie. De sub-verwerker moet verder alle redelijke instructies van de organisatie opvolgen.