Onze werkwijze bij een datalek

Wij hechten grote waarde aan de bescherming van persoonsgegevens. Ondanks zorgvuldige beveiligingsmaatregelen kan zich onverhoopt een datalek voordoen. In dat geval handelen wij volgens een vaste procedure, conform de geldende privacywetgeving.

1. Signalering en registratie

Elke (mogelijke) inbreuk op de beveiliging van persoonsgegevens wordt direct intern gemeld. Wij registreren het incident in ons datalekregister en starten een eerste beoordeling.

2. Beoordeling van het risico

Wij onderzoeken:

• Welke persoonsgegevens betrokken zijn;
• Hoeveel personen het betreft;
• Wat de mogelijke gevolgen zijn voor betrokkenen;
• Of er sprake is van onbevoegde toegang, verlies of onrechtmatige verwerking.

Op basis hiervan bepalen wij of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens en/of bij de betrokken personen.

3. Melding bij de toezichthouder

Indien het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens.

4. Informeren van betrokkenen

Wanneer het datalek een hoog risico vormt voor betrokkenen, informeren wij hen zo spoedig mogelijk rechtstreeks. Daarbij vermelden wij:

• De aard van het datalek;
• De mogelijke gevolgen;
• De maatregelen die wij hebben genomen;
• Aanbevelingen om eventuele schade te beperken;
• Onze contactgegevens voor vragen.

5. Beperken van schade en herstelmaatregelen

Wij nemen direct maatregelen om:

• Het datalek te stoppen;
• Verdere schade te voorkomen;
• Onze beveiligingsmaatregelen waar nodig te verbeteren.

6. Evaluatie en preventie

Na afhandeling van het incident evalueren wij de oorzaak en treffen wij aanvullende technische en organisatorische maatregelen om herhaling te voorkomen.