Protocol beveiligings- of datalekken 

Beveiligings- of datalekken zijn incidenten rondom verwerkingen van persoonsgegevens met een potentieel grote impact. Het snel en adequaat onderzoeken, beperken van de gevolgen, het melden en afhandelen van een beveiligings- of datalek is van groot belang. De AVG bepaalt dat beveiligings- of datalekken direct, binnen 72 uur, gemeld moeten worden aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen indien het een groot risico voor de rechten en vrijheden van de betrokkenen met zich meebrengt. Dit protocol beveiligings- of datalekken is bedoeld als hulpmiddel voor de beantwoording van de vraag of er sprake is van een beveiligings- of datalek; of en hoe deze gemeld moet worden. 

1 Wat is een beveiligings- of datalek? 
Er is sprake van een beveiligings- of datalek als er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden en er persoonsgegevens gelekt zijn.  

Voorbeelden van inbreuken in verband met persoonsgegevens kunnen zijn:  

• kwijtraken van een USB –stick 
• kwijtraken van papieren met persoonsgegevens 
• diefstal van een laptop 

• inbraak door een hacker 
• persoonsgegevens per ongeluk gepubliceerd 
• hacking, malware of phishing 
• persoonsgegevens aan verkeerde persoon verstuurd 
• calamiteiten zoals brand in een datacentrum (verlies van persoonsgegevens) 

2 Contactpersoon  
Bij WPW is Mirjam Deijkers de contactpersoon waar beveiligings- of datalekken gemeld moeten worden.  

3 De melding 
De melding van (een vermoeden) van een beveiligings- of datalek kan te allen tijde door iedereen worden gedaan, door personeelsleden en vrijwilligers van organisatie, maar ook door externen binnen en buiten organisatie. Medewerkers en vrijwilligers binnen de organisatie dienen een (vermoeden van) beveiligings- of datalek direct (diezelfde dag nog) te melden bij de contactpersoon zodat deze tijdig het beveiligings- of datalek kan onderzoeken. 

4 Uitvoeren van het stappenplan Beveiligings- of datalekken 

De binnen de organisatie aangewezen contactpersoon en de directie dragen zorg voor de invoering en naleving van het hieronder opgenomen stappenplan. Indien er een beveiligings- of datalek optreedt, dienen onderstaande stappen in het stappenplan Beveiligings- of datalekken doorlopen te worden.

STAPPENPLAN BEVEILIGINGS- OF DATALEKKEN 

  
 

Processtappen	Activiteit	Verantwoordelijke persoon
a. Er wordt een (mogelijk) beveiligings- of datalek ontdekt	Maak direct intern melding van (mogelijke) beveiligings- of datalek  Informeer de privacy officer De privacy officer begint met het aanleggen van een logboek, waarin alle relevante gebeurtenissen, beslissingen en tijdstippen worden vastgelegd en meldt het datalek aan de directie	Medewerker of vrijwilliger die het ontdekt (=melder)   Privacy officer
b. Beoordeling het beveiligings- of datalek	Onderzoek of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden  Beoordeel wie of welke afdelingen binnen de organisatie hierbij betrokken zijn  Beoordeel of er een verwerker betrokken is bij het incident. Zo ja dan dient deze bij het proces betrokken te worden	Privacy officer en directie (indien van toepassing Nedvice)
c. Vaststellen impact beveiligings- of datalek	Onderzoek de aard van de gegevens die gelekt zijn. Bijv. gezondheidsgegevens, wachtwoorden, gegevens over financiële situatie of die kunnen leiden tot stigmatisering/misbruik  Onderzoek de omvang van de gelekte gegevens   Beoordeel welke impact het lek kan hebben op de betrokken personen  Stel vast wat de nadelige gevolgen kunnen zijn	Privacy officer/Directie (indien van toepassing Nedvice)
d. Melden AP*	Bij besluit om Autorisatie Persoonsgegevens te informeren dan moet dat binnen 72 uur   Melding via de website van het AP  Van tevoren kan het Meldformulier Beveiligings- of datalekken gebruikt worden	Privacy officer/Directie
e. Melden betrokkenen**	Melding via bijvoorbeeld brief  Meedelen wat er is gebeurd, welke persoonsgegevens getroffen zijn en wat de mogelijke gevolgen van het beveiligings- of datalek kunnen zijn.  Informeren over de maatregelen die de organisatie neemt en die de betrokkene zelf kan nemen om schade te voorkomen  Bepaal acties voor nazorg betrokkenen	Privacy officer/Directie
f. Onderzoek /bestrijdt het beveiligings- of datalek	Onderzoek oorzaak beveiligings- of datalek  Stop het beveiligings- of datalek als het nog kan  Neem maatregelen om het beveiligings- of datalek en de daaruit voortvloeiende schade te beperken  Bepaal acties voor belang van de organisatie	Privacy officer/Directie  (indien van toepassing Nedvice)
g. Optimaliseer het beveiligings- en/of datalekproces	Bepaal acties voor verbetering / herstel beveiliging	Privacy officer/Directie (indien van toepassing Nedvice)
h.  Sluiting melding en vast legging	De melding wordt opgenomen in het register datalekken  Leg alle acties (a t/m g) van de genomen maatregelen vast in het dossier   Evalueer en verbeter het proces inzake melding beveiligings- of datalekken	Kwaliteitsmedewerker/Directie

 

* Melding aan de Autoriteit persoonsgegevens kan alleen achterwege blijven indien het onwaarschijnlijk is dat het beveiligings-of datalek leidt tot een (hoog) risico voor de rechten en vrijheden van de betrokkenen. Of hiervan sprake is, hangt mede af van de aard en omvang van de gelekte persoonsgegevens. Indien bijvoorbeeld uitsluitend de adresgegevens zijn gelekt van een kleine groep betrokkenen, dan is het onwaarschijnlijk dat er sprake is van een hoog risico. Dat is wellicht anders indien de adresgegevens in combinatie met het lidmaatschap van cliënten of cliëntenorganisatie zijn gelekt. Het lidmaatschap van de organisatie kan gezien worden als een gevoelig gegeven en de leden van de organisatie kunnen wellicht behoren tot een kwetsbare groep, die extra bescherming nodig heeft. Bij de afweging van het risico voor de rechten en vrijheden van de betrokken zal altijd de directie betrokken worden.  

In het geval dat het beveiligingslek niet heeft geleid tot verlies of onrechtmatige verwerking van persoonsgegevens is er geen sprake van een datalek maar van een beveiligingslek. Melding bij AP is dan niet aan de orde, maar de melding wordt dan wel geregistreerd door de aangewezen functionaris. 
 

** Indien het beveiligings- of datalek waarschijnlijk een (groot) risico voor de rechten en vrijheden van de betrokkenen veroorzaakt, moet het beveiligings- of datalek ook aan de betrokkenen gemeld worden. Het risico zal bijvoorbeeld moeten worden beoordeeld aan de hand van de aard en de hoeveelheid van de gelekte gegevens. Als er persoonsgegevens van gevoelige aard (bijv. gezondheidsgegevens) gelekt zijn, zal het lek in ieder geval gemeld moeten worden aan de betrokkenen. Bij de afweging van het risico voor de rechten en vrijheden van de betrokkenen zal altijd de directie betrokken worden.  

De melding bevat in ieder geval de aard van de inbreuk, contactgegevens, het informatiepunt waar de betrokkenen meer informatie over de inbreuk kan krijgen en de maatregelen die Wonen Plus Welzijn de betrokkenen aanbeveelt om te nemen om de negatieve gevolgen van de inbreuk te beperken. Het is hierbij ook van belang om over verdere communicatie richting betrokkenen na te denken, bijvoorbeeld het openen van een responsekanaal, een FAQ-pagina op de website, een bijeenkomst en dergelijke. 
 

Verwerker 
Het kan gebeuren dat het beveiligings- of datalek optreedt bij de verwerker. De organisatie is en blijft (als verwerkingsverantwoordelijke) verantwoordelijk voor het beveiligings- of datalek bij de verwerker. In dat geval moet dus hetzelfde stappenplan worden afgewerkt. De verwerker zal bij de stappen betrokken moeten worden.  

Via de verwerkersovereenkomst wordt afgedwongen dat de verwerker eventuele beveiligings- of datalekken terstond (binnen 24 uur) meldt bij de organisatie en de organisatie helpt bij het beoordelen of er gemeld moet worden en de afwikkeling van het beveiligings- of datalek. Belangrijk is dat de verwerker niet buiten de organisatie om een beveiligings- of datalek meldt bij de Autoriteit Persoonsgegevens. De verwerker moet verder alle redelijke instructies van de organisatie opvolgen.