Protocol Datalekken

Wat is een beveiligingsincident?
Voorbeelden van beveiligingsincidenten zijn:

  • Kwijtraken van een USB-stick
  • Diefstal van laptop of mobiele telefoon
  • Het verliezen van clientgegevens op papier
  • Onbevoegde toegang tot gebouw, ruimtes, kasten
  • Inbraak in het computersysteem van Stichting Het Maathuis, door een hacker
  • Het verlies van gegevens ten gevolge van een virus
  • Het doorgeven van persoonsgegevens aan iemand die deze niet had moeten ontvangen. (Bijvoorbeeld het sturen van gegevens aan de verkeerde client en/of instantie)
  • Het kwijtraken van gebruikersnaam en/of wachtwoorden die toegang geven tot een gegevensbestand met persoonsgegevens
  • Het kwijtraken van documenten met gegevens door water- of brandschade

Wat is een datalek?
Niet ieder beveiligingsincident is een datalek. Als er sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek.

Er is sprake van een datalek als bij het beveiligingsincident persoonsgegevens verloren zijn gegaan. Als er een aanzienlijke kans is dat ze verloren gaan of als we onrechtmatige verwerking van deze persoonsgegevens niet kunnen uitsluiten.

Melden aan de Autoriteit Persoonsgegevens:
Bij de beslissing of er sprake is van een datalek dat moet worden gemeld aan de Autoriteit Persoonsgegevens, moet een aantal afwegingen gemaakt worden.
Onderstaand stroomschema geeft deze afwegingen weer.

BEVEILIGINGSLEK
heeft zich een beveiligingsincident voorgedaan?

BEVEILIGINGSINCIDENT
zijn bij dit beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking niet uit te sluiten?

DATALEK
gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?

MELDEN AAN AUTORITEIT PERSOONSGEGEVENS
waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene(n)

MELDING AAN BETROKKENE(N)
Als het gaat om de afweging of er sprake is van een (aanzienlijke kans op( ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, dan geldt voor clientgegevens dat dit als snel het geval is. De reden hiervan is dat het om bijzondere persoonsgegevens gaat, namelijk over gegevens omtrent het traject van de client bij Stichting Het Maathuis.

In het algemeen geldt:

  • Hoe gevoeliger de gegevens, des te eerder er meldplicht is,
  • Hoe groter het aantal getroffen mensen, hoe eerder er moet worden gemeld.

Het informeren van de betrokkene:
De meldplicht Datalekken geeft ook aan dat Stichting Het Maathuis een melding moet doen aan de betrokkene(n) als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer.
Bij cliëntgegevens gaat het veelal om bijzondere persoonsgegevens. Daarom neemt Stichting Het Maathuis het standpunt in dat wanneer er een datalek met betrekking tot cliëntgegevens aan de Autoriteit Persoonsgegevens gemeld wordt, dat Stichting Het Maathuis eveneens een melding doet aan de betrokken cliënt. Idem dito geldt dat Stichting Het Maathuis haar medewerkers informeert als het om gegevens van hen gaat.
Als de gegevens voldoende beschermd zijn (bijvoorbeeld versleuteld), zodat niet te achterhalen is om wiens gegevens het gaat, dan hoeft dit niet aan betrokkene gemeld te worden.

Melding binnen Stichting Het Maathuis:
Medewerkers (waaronder ook vrijwilligers) melden (bij vermoeden van) een beveiligingsincident of datalek, dit onmiddellijk (dezelfde dag) aan de bestuurders van Stichting Het Maathuis.
Het stappenplan is als volgt:

  1. Degene die het beveiligingsincident signaleert informeert (per mail of telefoon) onmiddellijk (dezelfde dag) 1 van de bestuurders.
  2. Hierop volgt overleg tussen melder en bestuurder(s) om een totaalbeeld van het beveiligingsincident te krijgen.
  3. De bestuurders overleggen onderling (mogelijk ook met de Raad van Toezicht) of er acute maatregelen genomen moeten worden om het datalek te dichten, of om maatregelen te nemen om de gevolgen van het veiligheidsincident, of datalek te beperken.
  4. De bestuurders bepalen of er werkelijk sprake is van een datalek.
  5. Indien er geen sprake is van een datalek wordt de procedure beëindigd en zullen er door de bestuurders verdere maatregelen worden getroffen worden ter voorkoming van een dergelijk veiligheidsincident.
  6. Indien er wel sprake is van een datalek wordt het datalek door de bestuurders binnen 72 uur digitaal gemeld via het meldloket van de Autoriteit Persoonsgegevens.
  7. In vervolg hierop zal er bepaald worden welke maatregelen Stichting Het Maathuis moet treffen ter voorkoming van een dergelijk incident, zo nodig zullen deze maatregelen verwerkt worden binnen dit protocol.
  8. Ook zal overwogen worden wie op welke wijze geïnformeerd moet worden over het datalek en de genomen maatregelen. Dit waar het cliënt- en/of persoons- en of organisatiegegevens betreft.
  9. Indien het gaat om een voorlopige melding bij de Autoriteit Persoonsgegevens wordt de melding aangevuld zodra bekend is welke maatregelen Stichting Het Maathuis heeft genomen en welke personen er door Stichting Het Maathuis geïnformeerd zijn.
  10. Uitvoering van de maatregelen.
  11. Monitoring en evaluatie ven de maatregelen.
  12. Opnemen van de melding in het meldingsregister (bewaartermijn van de melding is drie jaar)
  13. Afsluiten proces melding datalek.