Protocol datalek

Protocol datalek
november 2018

Dit protocol ziet specifiek op persoonsgegevens. Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

Denk bij persoonsgegevens onder meer aan:

  • personeelsgegevens;
  • voor- en achternaam;
  • financiële gegevens (zoals een bankrekeningnummer) ten behoeven van het verwerken van betalingen;
  • adres, woonplaats;
  • foto’s waarop personen herkenbaar in beeld zijn;
  • telefoonnummer en e-mailadres;
  • overige persoonsgegevens uit (klant)dossiers;
  • bij gebruik van onze website verwerken wij informatie over dat gebruik, zoals de bezochte pagina’s, de advertenties die zijn vertoond en waarop wordt geklikt.

Wat is een datalek?
Wanneer er toegang ontstaat tot persoonsgegevens of persoonsgegevens worden vernietigd, gewijzigd of komen vrij zonder dat dit de bedoeling is van de organisatie spreek je van een datalek.

Een beveiligingslek is nog niet per definitie een datalek. Bij een beveiligingslek is er sprake van een omweg waarmee toch toegang wordt verkregen tot afgeschermde data. Het wordt pas een datalek wanneer die data vervolgens daadwerkelijk bij partijen komt die deze data niet mogen inzien. Ook het verlies van data is een datalek.

Een datalek kan al een verkeerd geadresseerde e-mail zijn. Andere voorbeelden zijn het:

  • verliezen van een USB stick met adressen voor een nieuwsbrief;
  • bij het grofvuil zetten van een afgedankte PC waar nog bestanden op staan met persoonsgegevens;
  • verloren gaan of gestolen worden van een laptop en/of een bedrijfstelefoon;
  • verloren gaan van data na een brand;
  • geopend retour komen van een verkeerd geadresseerde brief;
  • openen van phishing mails;
  • op onrechtmatige wijze verwerken van persoonsgegevens. Bijvoorbeeld het zonder toestemming van de betrokkene opslaan van zijn of haar persoonsgegevens;
  • inzien van persoonsgegevens door personeel dat hiervoor niet bevoegd is. Bijvoorbeeld ziekenhuispersoneel dat de gegevens van een beroemde patiënt inkijkt;
  • zonder toestemming langer bewaren van persoonsgegevens dan afgesproken.

Wat kun je doen om een datalek te voorkomen?

  • Het downloaden van software door medewerkers/leden van CPT is niet toegestaan op apparaten die toegang hebben tot persoonsgegevens. Dit is mogelijk door een gecontroleerd applicatieregister te gebruiken.
  • Medewerkers/leden van CPT worden geïnstrueerd om lokale opslag van persoonsgegevens op de laptop of smartphone te vermijden dan wel tot een minimum te beperken.
  • Wanneer er digitale kopieën worden gemaakt van persoonsgegevens verwijder deze dan zo snel mogelijk van bijvoorbeeld de USB stick..
  • Zet een wachtwoord op een USB stick, wanneer deze persoonsgegevens bevat, laptop en/of telefoon.
  • Controleer het mailadres voordat je een mail verstuurt.
  • Klik niet op phishing mails.
  • Ga vooral bewust en met gezond verstand om met data en voorkom dat deze op gegevensdragers staan, zoals op een laptop, smartphone, usb stick die niet versleuteld zijn.
  • Let goed op dat je een e-mail aan de juiste persoon heb geadresseerd voordat je deze verstuurd.

Wat moet je doen bij een datalek?

  • Stel vast of er sprake is van een datalek; zijn er daadwerkelijk persoonsgegevens verloren/gestolen/kwijtgeraakt of verkeert verwerkt?
  • Verzamel alle informatie over het datalek; welke gegevens zijn er precies gelekt en hoe heeft dit kunnen gebeuren. Leg dit ook vast.
  • Meldt het datalek (ook bij twijfel) direct na ontdekking bij de Functionaris Gegevensbescherming CPT: mevrouw A. Harperink (harperink@damste.nl) .
  • Mevrouw A. Harperink overlegt met de betrokken medewerker(s)/leden van CPT welke maatregelen per direct kunnen worden genomen om het datalek te stoppen en de gevolgen daarvan te beperken. Bijvoorbeeld: belet de onbevoegd medewerker/lid van CPT de toegang tot de data. Schakel professionele hulp in wanneer blijkt dat de organisatie niet in staat is zelf het lek te stoppen.
  • Mevrouw A. Harperink maakt de afweging of er een melding gemaakt moet worden bij de Autoriteit Persoonsgegevens. Een medewerker/lid van CPT meldt nooit zelfstandig.
  • Wanneer wordt besloten een melding te doen moet dit binnen 72 uur na ontdekking van het lek gebeuren.
  • De melding wordt gedaan via het meldloket datalekken (https://datalekken.autoriteitpersoonsgegevens.nl). Mevrouw A. Harperink maakt de afweging of de betrokken persoon op de hoogte wordt gesteld. Indien mogelijk door middel van een persoonlijk gesprek. De betrokkene blijft vervolgens geïnformeerd over de ontwikkelingen over het datalek.
  • Alle datalekken worden gedocumenteerd, inclusief de feiten eromheen, de gevolgen en de genomen corrigerende maatregelen.
  • Nadat het datalek is gemeld en afgehandeld, evalueert mevrouw A. Harperink samen met de andere medewerker(s)/leden van CPT van CPT die betrokken waren bij het datalek de melding en wordt gekeken of de reeds getroffen maatregelen en protocollen nog courant zijn. Deze worden zo nodig aangepast.