Onze organisatie loopt de volgende stappen door wanneer zich een beveiligingsincident heeft voorgedaan met gegevens. Tevens documenteert onze organisatie eventuele datalekken op de bijgaande lijst.

 

Stap 1 – Zijn de betreffende gegevens persoonsgegevens?

Een inbreuk is pas relevant voor de meldingsplicht van de AVG als het persoonsgegevens betreffen, oftewel betreffen het alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon? (artikel 4 lid 1 AVG)

Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

  • JA? > Ga naar Stap 2.
  • NEE? > Het betreft geen datalek in de zin van de AVG, dus er hoeft niet gemeld te worden.

 

Stap 2 – Zijn de gegevens per ongeluk of op onrechtmatige wijze vernietigd, verloren of gewijzigd?

Een voorbeeld hiervan is als gegevens zoek zijn (USB-stick of smartphone zoek) of door onbevoegden zijn versleuteld (encrypted) of veranderd. (artikel 4 lid 12 AVG)

Indien onbevoegden gegevens met adequate encryptie buit maken, dan betreft het géén datalek mits de organisatie nog over een toegankelijke kopie van de gegevens beschikt.

  • JA? > Het betreft een datalek die gemeld moet worden. Ga naar Stap 5.
  • NEE? > Ga naar Stap 3.

 

Stap 3 – Zijn de gegevens ongeoorloofd verstrekt of ongeoorloofd toegankelijk geweest tot doorzenden, opslaan of op andere wijzen verwerken?

Ook als gegevens niet zijn verdwenen uit de eigen beschikking kan er soms sprake zijn van een datalek als onbevoegden de gegevens hebben kunnen raadplegen of anderszins verwerken. (artikel 4 lid 12 AVG)

Indien onbevoegden enkel toegang hadden tot versleutelde gegevens (met adequate encryptie), dan betreft het géén datalek.

  • JA? > Het betreft een datalek die gemeld moet worden. Ga naar Stap 5.
  • NEE? > Ga naar Stap 4.

 

Stap 4 – De onderhavige inbreuk dient gedocumenteerd te worden.

Ook als een inbreuk niet leidt tot een meldingsplicht, dienen deze te worden gedocumenteerd. Onze organisatie gebruikt hiervoor de hierna volgende registratielijst. (artikel 33 lid 5 AVG)

 

Stap 5 – Is het waarschijnlijk dat de inbreuk risico’s inhoudt voor de rechten en vrijheden van natuurlijke personen?

De Meldingsverantwoordelijke – dit kan een functionaris gegevensbescherming (FG) zijn – beoordeelt het risico van de inbreuk samen met de Directie en eventueel de betrokken technische personen (bijv. de systeembeheerder van de Verwerker). Eventueel wordt een Externe Adviseur ingeschakeld bij twijfelgevallen of voor de begeleiding van het doen van de melding. De te beantwoorden vraag luidt: Is het waarschijnlijk dat de inbreuk in verband met de persoonsgegevens een risico inhoudt voor de rechten en vrijheden (lees hierin vooral de ‘bescherming van de persoonlijke levenssfeer’) van natuurlijke personen (dat zijn ‘mensen’ en géén rechtspersonen).

  • JA? > Er moet gemeld worden aan de Autoriteit Persoonsgegevens. Ga ook door naar Stap 6.
  • NEE? > De inbreuk is niet ernstig genoeg om te moeten worden gemeld. Registreer de inbreuk echter wel als vermeld onder Stap 4.

Hieronder een overzicht van voornoemde actoren van onze organisatie bij datalekken: (invullen)

Actoren Naam Telefoonnummer E-mailadres
Meldingsverantwoordelijke M. de Vries-Bezuijen AA 0299-436216 melanie@accountantskantoorbezuijen.nl
Directie M. de Vries-Bezuijen AA 0299-436216 melanie@accountantskantoorbezuijen.nl
Contactpersoon Verwerker M. de Vries-Bezuijen AA 0299-436216 melanie@accountantskantoorbezuijen.nl

Melden bij de Autoriteit Persoonsgegevens wordt gedaan via:

https://datalekken.autoriteitpersoonsgegevens.nl/ 

Let op: Indien met vertraging (na 72 uur) gemeld wordt, dient de vertraging te worden gemotiveerd.

 

Stap 6 – Houdt de inbreuk een hoog risico in voor de rechten en vrijheden van natuurlijke 

personen?

De Meldingsverantwoordelijke – dit kan een functionaris gegevensbescherming (FG) zijn – beoordeelt het risico van de inbreuk samen met de Directie en eventueel de betrokken technische personen (bijv. de systeembeheerder van de Verwerker). Eventueel wordt een Externe Adviseur ingeschakeld bij twijfelgevallen of voor de begeleiding van het doen van de melding.

Bij deze vraag is de situatie voor de betrokkene meer prangend en dient ook direct aan de betrokkene te worden gemeld, bijvoorbeeld om zijn wachtwoord te resetten of andere maatregelen te nemen om zoveel mogelijk schade te voorkomen. Raadpleeg de ‘Beleidsregels meldplicht datalekken’ van de Autoriteit Persoonsgegevens hierover: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken 

  • JA? > Er moet onverwijld gemeld worden aan de betrokkene. Registreer de inbreuk ook als vermeld onder Stap 4.
  • NEE? > Er hoeft enkel aan de Autoriteit gemeld te worden (Stap 5).

 

REGISTRATIE VAN INBREUKEN

Onze organisatie heeft de volgende inbreuken geregistreerd:

Inbreuk Datum en 

tijdstip

 Feiten Gevolgen (of

vermoedelijke)

 Genomen

maatregelen