Meldcode Datalekken en Privacy Schendingen

Laatst bijgewerkt op 01-01-2017

Dit is een meldcode voor gesignaleerde datalekken en schendingen van de privacy. Sinds 1 januari 2016 dienen (mogelijke) datalekken en schendingen van de privacy gemeld te worden bij de Autoriteit Persoonsgegevens.


Referentie:

• https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken?qa=datalek


Het bevoegd gezag van;


Zorgsloperij De Kans

James Wattstraat 18a

8912 AS Leeuwarden


Overwegende dat

        • Zorgsloperij De Kans verantwoordelijk is voor een goede kwaliteit van de dienstverlening aan zijn cliënten en dat deze verantwoordelijkheid ook aan de orde is in geval van privacy van zijn cliënten,

        • De privacy van de cliënten te allen tijde gewaarborgd dient te worden,

        • Zorgsloperij De Kans zich aan de bepalingen dient te houden die de Algemene Verordening Gegevensbescherming met zich mee brengt,

        • De Meldplicht Datalekken deel uit maakt van de Algemene Verordening Gegevensbescherming,

        • Onder een Datalek wordt verstaan het verkrijgen van toegang of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Het gaat hierbij op een inbreuk op de beveiliging van persoonsgegevens zoals bedoeld in Artikel 75 van de Algemene Verordening Gegevensbescherming,

        • Zorgsloperij De Kans voor delen van haar processen gebruik maakt van externe partijen en dat deze partijen daartoe soms dienen te beschikken over privacygevoelige gegevens van cliënten van Zorgsloperij De Kans.


In aanmerking nemende

        • De Wet bescherming persoonsgegevens (Wbp);

        • Dat per 25 mei 2018 de Wbp wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG).

        • De privacyverklaring van Zorgsloperij De Kans.


Zorgsloperij De Kans stelt de volgende Meldcode Datalekken en Privacy Schendingen vast, en maakt gebruik van een stappenplan om (potentiële) Datalekken en/of Privacy Schendingen in kaart te brengen en te melden.


Stappen bij (het vermoeden van) een datalek of schending van de privacy

Stap 1 | Is er een sprake van een potentieel datalek?


Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.


We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 75 van de Algemene Verordening Gegevensbescherming. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.


Bij een datalek kan het gaan om eigen gegevens die onbedoeld bij derden terecht komen, maar ook om gegevens die bij Zorgsloperij De Kans aan worden gebracht. Het versturen van een e-mail met persoonsgegevens naar een verkeerd mailadres, of het verlies van een USB-stick of laptop, kan een voorbeeld van een datalek.


Stap 2 | Waarschuw indien mogelijk direct de partij die onterecht de beschikking over clientgegevens heeft gekregen dan wel deze met Zorgsloperij de Kans heeft gedeeld.


Indien deze actie als resultaat heeft dat er met zekerheid kan worden uitgesloten dat het datalek heeft geleid tot onrechtmatige verwerking is er geen sprake meer van een datalek.


Stap 3 | Doe onderzoek naar het datalek


Het is toegestaan om enige tijd onderzoek te doen naar het datalek. Dit dient in principe niet langer dan 72 uur te duren. Uit het onderzoek kan blijken dat er geen melding gedaan hoeft te worden.


Daar waar het gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte Persoonsgegevens, dient er gemeld te worden bij de Autoriteit Persoonsgegevens.


Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.


Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uit sluiten.


Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.


Stap 4 | Doe een melding bij de Autoriteit Persoonsgegevens


Indien vastgesteld is dat er een melding gedaan dient te worden, dient deze binnen 72 uur na ontdekking digitaal gedaan te worden. Indien de melding later plaats heeft zal moeten worden gemotiveerd waarom dit het geval is. De melding moet digitaal gedaan worden op:

https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0


Stap 5 | Stel vast of de betrokkene op de hoogte gesteld dienen te worden van het datalek. 


Indien een datalek is opgetreden is er niet automatisch de noodzaak om ook de betrokkene op de hoogte te stellen. Dit is alleen noodzakelijk indien het datalek grote gevolgen voor de persoonlijke levenssfeer van de betrokkene kan hebben.


Stap 6 | Stel de betrokkene op de hoogte van het datalek. 


Indien noodzakelijk dient een persoonlijke melding aan de betrokkene plaats te vinden over de aard van het datalek, instanties waar hij of zij meer informatie kan verkrijgen en de maatregelen die de betrokkene kan nemen om de negatieve gevolgen te beperken. Ook wordt weergegeven welke maatregelen reeds door Zorgsloperij De Kans zijn genomen om de gevolgen te beperken. 


Onze zorgsloperij is gevestigd in de hoofdstad van Friesland Leeuwarden, op het bedrijfsterrein De Zwette. Zorgsloperij heeft een goede samenwerking met Auto- en Recycling bedrijf De Zwette. Veel van ons materiaal is afkomstig van dit bedrijf en wordt op een creatieve, educatieve manier aangewend tot verrassende projecten.