FACTSHEET DATALEK. Inleiding

Vergelijkbare documenten
FACTSHEET VERWERKINGSREGISTER

Procedure meldplicht datalekken

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

Procedure Gegevenslekken

Protocol meldplicht datalekken

PROCEDURE MELDPLICHT DATALEKKEN

Algemene Voorwaarden. Addendum AVG

VERWERKERSOVEREENKOMST

Degene op wie een Persoonsgegeven betrekking heeft.

Checklist Verwerkersovereenkomst

Procedure Meldplicht Datalekken

in aanmerking nemende dat

Clausules betreffende de verwerking van persoonsgegevens

Chodsky Pes Club Nederland

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

Protocol Meldplicht Data-lekken

VERWERKEN VAN PERSOONSGEGEVENS

Protocol Datalekken Twelve

Formulier melding datalek

Cursus privacyrecht Jeroen Naves 7 september 2017

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Verwerkersovereenkomst Beyuna Beyuna Independent Sales Representative

1. Definities De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

Verwerkersovereenkomst

EXQUISE NEXT GENERATION

Verwerkingsovereenkomst Bijlage bij Algemene Voorwaarden Thumbs Up VOF

Sophios Standaard Verwerkersovereenkomst

VERWERKING VAN PERSOONSGEGEVENS

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Degene op wie een Persoonsgegeven betrekking heeft.

Verwerkersovereenkomst Ficsus.nl

Overeenkomst bd accountancy in het kader van de AVG

Verwerkersovereenkomst: Klant (Verantwoordelijke) Adviseur (Verwerker) EER. [plaats, eventueel straat en huisnummer],

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

Bijlage: Verwerkersovereenkomst

Verwerkingsovereenkomst Bunnig & Partners accountants + adviseurs B.V.

Algemene verordening gegevensbescherming

Degene op wie een Persoonsgegeven betrekking heeft.

Bijlage: Verwerkersovereenkomst

Whitepaper AVG Dyckhaven Verzekeringen

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Vandaag Zorgvernieuwing

Partijen: Opdrachtgever, hierna te noemen: Verantwoordelijke, U of Uw,

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Voorbeeld Verwerkersovereenkomst

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Verwerkersovereenkomst

Privacyverklaring. Voor de verwerking van persoonsgegevens van personen jonger dan 16 jaar vraag ik om toestemming van hun ouders of voogd.

Protocol Meldplicht Datalekken

Wat betekent de AVG voor jouw vereniging?

Verwerkersovereenkomst

BIJLAGE 3. Procedure Meldplicht Datalekken

De AVG, wat moet ik ermee?

Privacy statement MULDATA BV

Privacy statement Nederlandse Triage Standaard

AANVULLING OP ONZE ADVIESVOORWAARDEN: WERKWIJZE

Bijlage 1: AVG SAMENWERKINGSOVEREENKOMST. De betrokken partijen:

Verwerkersovereenkomst Rekenraad accountants en belastingadviseurs

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Verwerkersovereenkomst INTRAMED ONLINE

Protocol informatiebeveiligingsincidenten en datalekken

Verwerkersovereenkomst

VERWERKERSOVEREENKOMST KRYB

Verwerkingsovereenkomst opdrachtgever vonk

REGLEMENT TAKEN EN BEVOEGDHEDEN FUNCTIONARIS GEGEVENSBESCHERMING

Verwerkersovereenkomst

Verwerkersovereenkomst

Verwerkersovereenkomst

Boels Zanders. De kracht Jean-Luc van ambitie. 24 mei Privacy op de werkvloer. Anouk Cordang en

Procedure Melding Datalekken. Versie mei 2018

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

IBAN: NL45 ABNA BIC: ABNANL2A. De Ronde CZ Best yolknet.nl. KvK: BTW NL B01

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Verwerkersovereenkomst

Privacy statement. Kinderopvang Midas

Verwerkersovereenkomst SponsorVisie B.V. (Verwerker)

Voorwaarden voor Gegevensverwerking Versie 1.0

Protocol Cameratoezicht

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Bijlage Gegevensverwerking. Artikel 1 - Definities

Model Verwerkersovereenkomst

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Kennisgeving GDPR voor werkgevers en werknemers van de sector van de bedienden uit de internationale handel, het vervoer en de logistiek

Verwerkersovereenkomst Minox Support

In dit reglement wordt in aansluiting en aanvulling op de Algemene Verordening Gegevensbescherming verstaan onder:

Sta eens stil bij de Wet Meldplicht Datalekken

Protocol beveiligingsincidenten en datalekken

VERWERKING PERSOONSGEGEVENS Stichting RotterdamRibRally

Verwerkersovereenkomst Per maart 2018 éénmalige versie

VERWERKERSOVEREENKOMST POWERTOOLS

ADDENDUM VERWERKING URL link naar de support site met sub-verwerkers toegevoegd.

Privacy en de meldplicht datalekken

Voorbeeld Verwerkersovereenkomst: (Ontwerper is Verantwoordelijke)

Verwerkersovereenkomst

Verwerkersovereenkomst: Klant (Verantwoordelijke) Accountant (Verwerker) AVG

Phytalis-Verwerkersovereenkomst

Transcriptie:

Inleiding Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen met zich mee ten opzichte van de oude Nederlandse Wetgeving. In de AVG is opgenomen hoe en bij wie een datalek gemeld moet worden. In dit draaiboek is opgenomen welke stappen genomen moeten worden op het moment dat sprake is van een Datalek. In grote lijnen zijn dit de volgende stappen: Schema 1

1. Een Datalek Een datalek wordt in de AVG ook wel omschreven als een inbreuk in verband met persoonsgegevens. Hierna zal dan ook gesproken worden over een inbreuk. De AVG geeft hiervoor de volgende omschrijving: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. In veel situaties zal dus sprake zijn van een datalek. Hieronder zijn enkele voorbeelden gegeven van situaties waarin sprake is van een inbreuk: diefstal van een laptop waarop persoonsgegevens staan. Ook een telefoon kan hieronder vallen; het laten liggen van een laptop of telefoon in de trein; een brand waarbij apparatuur, met daarop persoonsgegevens, verloren is gegaan; een geprinte lijst met daarop contactgegevens die gestolen of ingezien wordt; een telefoon die in de WC valt; een hack waarbij persoonsgegevens zijn gestolen. Naast bovenstaande situaties zijn nog tal van voorbeelden te bedenken van situaties waarbij een inbreuk wordt gemaakt in verband met persoonsgegevens. Op het moment dat de verwerker een inbreuk constateert moet de verwerker de verwerkingsverantwoordelijke op de hoogte brengen van deze inbreuk. Zie hierover ook onze Factsheet Verwerkersovereenkomst. 2. De Documentatieplicht Op het moment dat een inbreuk is geconstateerd verplicht de AVG de verwerkingsverantwoordelijke om dit te documenteren. Dit moet gedaan worden voor alle inbreuken waarbij persoonsgegevens betrokken zijn. De volgende zaken moeten worden gedocumenteerd; de feiten over de inbreuk;

wat zijn de gevolgen van het datalek; en welke maatregelen zijn getroffen om dit in de toekomst te voorkomen. De Autoriteit Persoonsgegevens (AP) kan om dit document vragen. Door middel van een dergelijk document kan de Autoriteit Persoonsgegevens controleren of voldaan is aan de verplichtingen die horen bij een Datalek. 3. De Meldplicht aan de Autoriteit Persoonsgegevens Als verwerkingsverantwoordelijke ben je verplicht om in bepaalde gevallen een inbreuk te melden aan de Autoriteit Persoonsgegevens. De AVG verplicht om een inbreuk te melden waarbij een risico is ontstaan voor de rechten en vrijheden van de betrokken personen. Wanneer precies sprake is van zo n risico wordt niet door de AVG uitgelegd. Het is dan ook op dit moment nog niet met zekerheid te zeggen wanneer zo n risico aanwezig is. Dit risico bestaat in ieder geval wanneer de schending kan leiden tot fysieke, materiële of immateriële schade voor de personen van wie de gegevens zijn geschonden. Wel kunnen een paar gevolgen worden onderscheiden waarbij hoogstwaarschijnlijk sprake is van zo n risico; Persoonsgegevens die kunnen leiden tot discriminatie; Hierbij kan het gaan om gegevens over godsdienst, ras, etniciteit en huidskleur van betrokken personen. Wanneer deze persoonsgegevens worden gelekt, kan dit nadelige gevolgen hebben op voor de betrokkene. Persoonsgegevens die gebruikt kunnen worden bij Identiteitsdiefstal / identiteitsfraude; Het gaat hierbij onder meer om biometrische gegevens en kopieën van identiteitsbewijzen. Ook hier zouden voor de betrokkene ernstige nadelige gevolgen kunnen hebben. Persoonsgegevens die kunnen leiden financieel verlies; Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens.

Persoonsgegevens die kunnen leiden reputatieschade; Het gaat hier om persoonsgegevens die de reputatie van de betrokkenen kunnen schaden. Denk hier bijvoorbeeld aan het lekken van persoonsgegevens over een eventuele verslaving van betrokkene, of over werk- of schoolprestaties. Een inbreuk waarbij bijzondere persoonsgegevens bij betrokken zijn. Wanneer de inbreuk betrekking heeft op persoonlijke gegevens die raciale of etnische afkomst, politieke overtuiging, religie of filosofische overtuiging of vakbondslidmaatschap onthullen, of die genetische gegevens, gegevens over gezondheid of gegevens over het seksleven, of strafrechtelijke veroordelingen en strafbare feiten of daarmee samenhangende veiligheidsmaatregelen omvatten, is sprake van een dergelijk risico. 4. De melding aan de Autoriteit Persoonsgegevens (AP) Is (waarschijnlijk) sprake van een risico voor de rechten van de betrokken personen? Dan moet je dit melden aan de AP. De melding moet minstens aan de volgende eisen voldoen: de melding moet zonder onredelijke vertraging worden gedaan; Op het moment dat je op de hoogte bent van de inbreuk moet deze melding, als dat mogelijk is, binnen uiterlijk 72 uur worden gedaan. Lukt dit niet binnen 72 uur? Dan moet je bij de melding uitleg geven over de vertraging. de aard van de inbreuk moet worden vermeld; Als het mogelijk is moet hier ook bij worden vermeld om welke categorieën van van betrokkenen het gaat en welke persoonsgegevensregisters / databanken het betreft. Als dat mogelijk is moet ook worden vermeld het aantal betrokkenen en registers dat bij de inbreuk betrokken is. Dit mag bij benadering zijn. de contactgegevens waarbij meer informatie kan worden verkregen; Heeft jouw organisatie een Functionaris voor Gegevensbescherming, dan kunnen de contactgegevens van deze persoon hier worden vermeld.

de (waarschijnlijke) gevolgen van de inbreuk; Het lijkt hier niet alleen te gaan om de eventuele nadelige gevolgen. Alle gevolgen lijken dus te moeten worden vermeld. de voorgestelde of getroffen maatregelen; De maatregelen die jullie willen gaan of hebben getroffen om een dergelijke inbreuk in de toekomst te voorkomen of aan te pakken moeten worden vermeld. Daarnaast moet ook worden vermeld, als dat mogelijk is, welke maatregelen zijn getroffen om de eventuele nadelige gevolgen te beperken. Is het voor jouw organisatie niet mogelijk om al deze informatie in één keer te verstrekken? Dan mag de informatie ook, zonder onredelijke vertraging, in stappen worden verstrekt. 5. De meldplicht aan de betrokken personen Wanneer een `hoog` risico is ontstaan voor de rechten van de betrokken personen moeten deze personen ook op de hoogte worden gebracht van de inbreuk. Op dit moment is nog niet duidelijk wanneer precies sprake is van een hoog risico. Het is te verwachten dat wanneer een melding moet worden gemaakt de Autoriteit Persoonsgegevens ook een melding moet worden gemaakt aan de betrokken personen. In de AVG zijn twee situaties opgenomen waarin geen melding hoeft te worden gedaan aan de betrokken personen: wanneer passende en organisatorische maatregelen zijn getroffen met betrekking tot de persoonsgegevens waarop een inbreuk is gemaakt., of; Dit is bijvoorbeeld het geval wanneer de persoonsgegevens onbegrijpelijk zijn gemaakt of versleuteld zijn. maatregelen zijn getroffen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen. Is het doen van een mededeling onmogelijk? Dan zal een openbare mededeling moeten worden gedaan waarbij de betrokkenen op doeltreffende wijze worden geïnformeerd over de inbreuk.

De Autoriteit Persoonsgegevens kan achteraf verplichten om een dergelijke mededeling te doen aan de betrokken personen of dat aan één van de uitzonderingsgevallen voldaan is. 6. De melding aan de betrokken personen De melding die gedaan moet worden aan de betrokken personen lijkt op die van de melding die gedaan moet worden aan de Autoriteit Persoonsgegevens. De volgende drie punten komen overeen: de contactgegevens waarbij meer informatie kan worden verkregen; Heeft jouw organisatie een Functionaris voor Gegevensbescherming, dan kunnen de contactgegevens van deze persoon hier worden vermeld. de (waarschijnlijke) gevolgen van de inbreuk; Het lijkt hier niet alleen te gaan om de eventuele nadelige gevolgen. Alle gevolgen lijken dus te moeten worden vermeld. de voorgestelde of getroffen maatregelen. De maatregelen die jullie willen gaan of hebben getroffen om een dergelijke inbreuk in de toekomst te voorkomen of aan te pakken moeten worden vermeld. Daarnaast moet ook worden vermeld, als dat mogelijk is, welke maatregelen zijn getroffen om de eventuele nadelige gevolgen te beperken. De aard van de inbreuk moet ook worden vermeld alleen is het bij deze vermelding zaak dat het in begrijpbare en eenvoudige taal gedaan wordt. Als uitgangspunt hiervoor zou je de volgende zaken kunnen opnemen in deze mededeling; een korte omschrijving van het lek en wat met de gegevens is gebeurd; zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd? Meer informatie? Raadpleeg dan onze website. Heb je een vraag? Dan kun je altijd contact met ons opnemen via: info@juridischehulponline.nl. Behoefte aan meer factsheets of een document dat je helpt bij het AVG proof worden zoals een Privacy Verklaring of een Verwerkingsregister? Zie dan onze site.

Definities Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback