Leidraad Datalekken St. Skillcity

Wanneer is sprake van een Datalek

Van een datalek is sprake bij een inbreuk op de beveiliging van persoonsgegevens die leidt of kan leiden tot enige ongeoorloofde verwerking hiervan. Het betreft niet een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Bij een datalek heeft zich daadwerkelijk een beveiligingsincident voorgedaan en de preventieve maatregelen die St. Skillcity heeft getroffen waren niet toereikend om dit te voorkomen.

Voorbeelden van een datalek zijn:

  • Een hack;
  • Ransomware;
  • Verkeerd geadresseerde e-mails;
  • Verlies inloggegevens die toegang geven tot persoonsgegevens;
  • Verlies of diefstal van een usb-stick, computer of andere gegevensdrager met daarop persoonsgegevens.

1. Melding van een Datalek

1. bij de Autoriteit Persoonsgegevens
Een datalek moet zonder vertraging worden gemeld aan de Autoriteit Persoonsgegevens. De melding zal bij het meldloket op de website van de Autoriteit worden gedaan. Als streeftijd voor de melding geldt een termijn van uiterlijk 72 uur nadat het datalek daadwerkelijk ter kennis is genomen door St. Skillcity. Indien een verwerker/opdrachtnemer van St. Skillcity een datalek ontdekt, dan dient deze partij St. Skillcity onverwijld, zonder onredelijke vertraging hierover te informeren, zodat St. Skillcity melding bij de Autoriteit kan doen.

Uitzondering: Een melding kan achterwege blijven indien het niet waarschijnlijk is dat de inbreuk redelijkerwijs een risico voor betrokkenen met zich meebrengt. Het datalek moet echter wel altijd worden gedocumenteerd.

2. Mededeling aan de betrokkene

Indien er sprake is van een risico op negatieve gevolgen voor de betrokkene (de persoon van wie de persoonsgegevens zijn gelekt) dient het datalek ook aan de betrokkene te worden medegedeeld.

Negatieve gevolgen zijn bijvoorbeeld:

  • Verlies van controle door betrokkene over de persoonsgegevens;
  • Het niet kunnen uitoefenen van de rechten (zoals uitwissing of rectificatie);
  • Identiteitsdiefstal of –fraude;
  • Financiële verliezen;
  • Ongedaan maken van pseudonomisering;
  • Reputatieschade.

De mededeling aan de betrokkene dient in heldere bewoording een omschrijving te omvatten van de aard van de inbreuk, alsmede de volgende informatie:

  • De aard van de persoonsgegevens, onder vermelding van het persoonsgegevensregister (indien aanwezig) en indien mogelijk de categorieën van betrokkenen, en bij benadering het aantal betrokkenen;
  • De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt binnen St. Skillcity waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk op persoonsgegevens als gevolg van dit datalek.

Mededeling aan de betrokkene is niet vereist indien:

  • St. Skillcity passende technische en organisatorische maatregelen heeft getroffen waardoor misbruik is uit te sluiten. Denk hierbij aan encryptie of versleuteling;
  • St. Skillcity direct na het datalek maatregelen heeft getroffen waardoor het risico voor de betrokkene zich niet zal voordoen;
  • Het doen van de mededeling een onevenredige inspanning zou vergen, bijvoorbeeld omdat het om een zeer grote groep betrokkenen gaat.

Alle datalekken (ook welke niet aan de Autoriteit Persoonsgegevens worden gemeld) dienen te worden gedocumenteerd. Daarbij dienen in ieder geval de volgende zaken te worden geregistreerd:

  • De feiten omtrent de inbreuk in verband met de persoonsgegevens;
  • De gevolgen van de inbreuk;
  • De genomen corrigerende maatregelen.

Samenvattend:

  1. Altijd: intern documenteren van het datalek;
  2. Melding doen bij de Autoriteit Persoonsgegevens, tenzij er redelijkerwijs geen risico bestaat voor de betrokkene(n);
  3. Mededeling doen aan de betrokkene bij risico op negatieve gevolgen voor de betrokkene.