Besluit van het dagelijks bestuur van de Uitvoeringsorganisatie Laborijn houdende regels omtrent datalekken Procedure Melden Datalek

Inleiding

 

Laborijn verwerkt in haar dienstverlenings- en bedrijfsvoeringsprocessen een omvangrijke hoeveelheid persoonsgegevens, zowel van klanten als van medewerkers. Op deze verwerkingen is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. In deze wet is de meldplicht integraal opgenomen.

 

Met de Meldplicht Datalekken wil de wetgever de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Indien er sprake is van een ernstig datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, moet de verantwoordelijke het datalek melden aan de Autoriteit Persoonsgegevens. In een aantal gevallen moet het datalek ook gemeld worden aan de betrokkenen. Als er ten onrechte geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete door de Autoriteit Persoonsgegevens.

 

Wat is een datalek ?

Bij een datalek gaat het om toegang tot, of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zónder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

 

Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoons-gegevens en niet-geautoriseerde toegang tot deze persoonsgegevens. Er is dus niet alleen sprake van een datalek bij een inbraak door een hacker. Ook het kwijtraken van een (onversleutelde) USB-stick, de diefstal van een laptop, het verzenden van gevoelige gegevens naar een onjuist e-mailadres of het verlies van gegevens bij een brand in het datacentrum terwijl er geen back-up beschikbaar is, zijn voorbeelden van een datalek.

 

Wanneer moeten we een melding doen ?

Volgens de wet moet een ‘ernstig’ datalek, zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, worden gemeld aan de Autoriteit Persoonsgegevens.

Een lek kan ernstig zijn indien er persoonsgegevens van gevoelige aard zijn gelekt, bijvoorbeeld: inloggegevens, financiële gegevens, kopieën van identiteitsbewijzen of gegevens die betrekking hebben op godsdienst of levensovertuiging, ras, politieke gezindheid, of gezondheid. Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. De aard en omvang van het datalek spelen hierbij dus een belangrijke rol. Laborijn hoeft geen melding te doen aan de Autoriteit Persoonsgegevens indien daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten.

 

Een datalek moet aan de betrokkene worden gemeld als bij een inbreuk het risico groot is dat die inbreuk ongunstige gevolgen zal hebben voor diens privéleven. Ongunstige gevolgen voor de betrokkene zijn: aantasting in eer en goede naam, identiteitsfraude of discriminatie. Als Laborijn passende technische beschermingsmaatregelen heeft genomen, waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn gemaakt, is de melding aan de betrokkene niet nodig.

 

Eigen register

Laborijn houdt zelf een register bij van alle datalekken. Dus ook van de datalekken die niet gemeld hoeven te worden. Dit register is voor iedereen beschikbaar.

 

Wie is ve rantwoordelijk ?

Laborijn is verantwoordelijk voor de verwerking van persoonsgegevens, ook als de verwerking (gedeeltelijk) wordt uitgevoerd door een derde partij. Laborijn blijft eindverantwoordelijk voor de melding van een datalek bij de Autoriteit Persoonsgegevens.

 

Wie is aansprakelijk ?

Het bestuur van Laborijn is aansprakelijk voor de eventuele schade die ontstaat bij een datalek en moet hiervan melding doen aan de Autoriteit Persoonsgegevens en eventueel bij de betrokkene(n).

 

De Procedure

 

Er doet zich een gebeurtenis voor die een inbreuk is op de beveiliging.

 

  • 1.

    De medewerker die direct of indirect kennis krijgt van een incident neemt contact op met:

    • de functionaris gegevensbescherming (FG), en/of

    • de coördinator informatiebeveiliging (CISO)

  • Hij doet dit door een e-mail te sturen aan privacy@laborijn.nl. Tevens zoekt hij telefonisch of persoonlijk contact met de FG en/of de CISO. Ook bij twijfel kan hij altijd contact opnemen.

 

  • 2.

    De FG gaat na of de meldplichtprocedure van toepassing is. Hiervoor gebruikt hij de procedure uit Bijlage 1: is de meldplichtprocedure van toepassing ?

    • indien de meldplichtprocedure niet van toepassing is: geen vervolg nodig, de CISO en de FG geven een terugkoppeling aan de melder.

    • indien de meldplichtprocedure wel van toepassing is: ga naar 3

 

  • 3.

    De CISO en de FG onderzoeken het incident. Hierbij is aandacht voor ten minste de volgende aspecten:

    • samenvatting van het incident;

    • het tijdstip van het incident;

    • de aard van het incident;

    • het type persoonsgegevens waar het over gaat;

    • de oorzaak van dit incident;

    • de mogelijke gevolgen voor de persoonlijke levenssfeer van de betrokkene(n).

  • Indien nodig wordt de hulp van collega’s ingeschakeld.

 

  • 4.

    De FG beoordeelt of het incident een datalek betreft of niet. Hiervoor gebruikt hij de procedure uit Bijlage 2: is de gebeurtenis een datalek ?

    • indien het incident geen datalek betreft: ga naar 10

    • indien het incident wel een datalek betreft: ga naar 5

 

  • 5.

    De FG beoordeelt of het datalek ernstige nadelige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene(n) en of de meldplicht van toepassing is. Hiervoor gebruikt hij de procedure uit Bijlage 3: moet het datalek worden gemeld aan de AP ?

 

  • 6.

    De FG adviseert de directeur over het wel of niet doen van een melding aan de Autoriteit Persoonsgegevens.

    • indien geen melding wordt gedaan bij de AP: ga naar 10

    • indien er wel een melding wordt gedaan bij de AP: ga naar 7

 

  • 7.

    De FG maakt melding van het datalek bij de Autoriteit Persoonsgegevens. Hiervoor gebruikt hij het online formulier op het meldloket van de AP. De FG is aanspreekpunt voor de AP en voorziet de AP voor zover nodig van nadere toelichting. Eventuele aanwijzingen van de AP worden vastgelegd en opgevolgd.

 

  • 8.

    De FG beslist zelfstandig, of op aangeven van de Autoriteit persoonsgegevens, of er wel of geen melding gedaan moet worden aan de betrokkene(n). Hiervoor gebruikt hij de procedure uit Bijlage 4: moet het datalek worden gemeld aan de betrokkene(n) ?

    • indien geen melding wordt gedaan aan de betrokkene(n): ga naar 10

    • indien er wel een melding wordt gedaan aan de betrokkene(n): ga naar 9

 

  • 9.

    De FG meldt het datalek onverwijld aan de betrokkene(n). Dit houdt in dat de verantwoordelijke, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek zodat de betrokkene(n) op een behoorlijke en zorgvuldige manier kan/kunnen worden geïnformeerd. In de kennisgeving wordt ten minste vermeld:

    • de aard van de inbreuk;

    • de instanties waar de betrokkene meer informatie over de inbreuk kan krijgen (contactgegevens);

    • de maatregelen die zijn aanbevolen om de negatieve gevolgen van de inbreuk te beperken.

 

  • 10.

    De CISO maakt een verslag van de gebeurtenis. Het verslag bevat ten minste de volgende informatie:

    • de naam en functie van de melder van het incident;

    • plaats en tijd van het incident;

    • beschrijving van het incident;

    • de aard van het incident;

    • het type persoonsgegevens waar het over gaat;

    • het proces waarin het incident zich heeft voorgedaan;

    • het informatiesysteem waarin het incident zich heeft voorgedaan;

    • het feit of de persoonsgegevens zijn versleuteld, gehasht, of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

    • de oorzaak van dit incident;

    • de mogelijke gevolgen voor de persoonlijke levenssfeer van de betrokkene(n);

    • de getroffen maatregelen die genomen zijn om eventuele gevolgen te beperken;

    • de maatregelen die getroffen moeten worden om dergelijke incidenten in de toekomst te voorkomen.

    • of het incident wel of geen een datalek betrof;

    • of het datalek is gemeld aan de Autoriteit Persoonsgegevens

      • zo ja: datum en inhoud van de melding

      • zo nee: de reden waarom niet is gemeld

    • of het datalek is gemeld aan de betrokkene(n)

      • zo ja: datum en inhoud van de melding

      • zo nee: de reden waarom niet is gemeld

  • Dit verslag wordt voor gezien ondertekend door de FG en de directeur.

 

  • 11.

    De CISO neemt het incident op in het Register Datalekken van Laborijn.

 

  • 12.

    Naar aanleiding van dit incident informeert de CISO indien nodig de Informatiebeveiligings-dienst (IBD) van de vereniging van Nederlandse gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) over mogelijke gevolgen voor andere verwerkings-verantwoordelijken.

     

Interne controle

De FG analyseert jaarlijks de ontvangen meldingen en rapporteert hierover aan het MT. Indien nodig wordt dit rapport voorzien van een verbeterplan.

 

De concerncontroller beoordeelt jaarlijks of de procedure, en de uitvoering ervan, met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen, wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de procedure.

Rollen en Verantwoordelijkheden

Iedere medewerker

  • verantwoordelijk voor het melden van een incident, direct nadat hij er kennis van krijgt;

  • verantwoordelijk voor het meewerken aan onderzoek.

 

Team- en Afdelingsmanagers

  • verantwoordelijk voor het onder de aandacht brengen van de thema’s Privacy en Datalekken bij de medewerkers, zij worden hierin ondersteund door de FG en de CISO.

 

Chief Information Security Officer (CISO) (Diederik Becker)

  • verantwoordelijk voor de actualiteit van deze procedure, de bekendmaking ervan en het instrueren van medewerkers;

  • verantwoordelijk voor het opstellen en laten ondertekenen van het verslag van iedere gebeurtenis;

  • verantwoordelijk voor het opstellen en bijhouden van het Register Datalekken;

  • verantwoordelijk voor de communicatie met de IBD;

  • verantwoordelijk voor het ondernemen van preventieve en repressieve beveiligingsmaatregelen, zowel technisch als organisatorisch.

 

Functionaris Gegevensbescherming (FG) (Erik Jochems)

  • verantwoordelijk voor het advies aan de directeur om een datalek wel of niet te melden bij de AP;

  • verantwoordelijk voor de tijdige (!) melding bij de Autoriteit Persoonsgegevens;

  • verantwoordelijk voor de communicatie met de Autoriteit Persoonsgegevens;

  • verantwoordelijk voor de beslissing om een datalek wel of niet te melden bij de betrokkene(n);

  • verantwoordelijk voor de communicatie met de betrokkene(n);

  • verantwoordelijk voor de jaarlijkse rapportage aan het MT met betrekking tot datalekken.

 

Concerncontroller (Erik Jochems)

  • verantwoordelijk voor de jaarlijkse controle op de uitvoering van de procedure.

 

Directeur (Betty Talstra)

  • verantwoordelijk voor de beslissing om een datalek wel of niet te melden bij de AP.

Bijlage 1 PROCEDURE 1: is meldplichtprocedure datalek van toepassing?

 

Dit is het geval indien…

 

  • A.

    … sprake is van verwerking van persoonsgegevens (elk gegeven betreffende een geïdentificeerde of identificeerbare persoon, zoals NAW-gegevens, IP-adressen en foto’s). Verwerking van persoonsgegevens betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, raadplegen en verspreiden.

 

  • B.

    … u de verantwoordelijke - degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking vaststelt - of diens vertegenwoordiger bent. Als u bij de verwerking derden inschakelt, blijft u ter zake de meldplicht de eindverantwoordelijke.

 

  • C.

    … de AVG op de verwerking van toepassing is. Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de AVG, bijvoorbeeld verwerkingen ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden. Daarnaast is van belang waar de activiteiten plaatsvinden waarvoor de persoonsgegevens worden verwerkt en waar de al dan niet geautomatiseerde middelen zich bevinden die bij de verwerking worden gebruikt (in een ander land).

 

 

Bijlage 2 PROCEDURE 2: is de gebeurtenis een datalek?

 

Dit is het geval indien …

 

  • A.

    … sprake is van een inbreuk op de beveiliging, dat wil zeggen dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan, en

 

  • B.

    … bij de inbreuk persoonsgegevens verloren zijn gegaan of redelijkerwijs niet kan worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt, waaronder moet worden begrepen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging of verstrekking daarvan.

 

 

Bijlage 3 PROCEDURE 3: moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens?

 

Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens indien sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval indien één van de volgende situaties aan de orde is:

 

  • 1.

    Persoonsgegevens van gevoelige aard zijn gelekt, namelijk:

    • A.

      bijzondere persoonsgegevens zoals bedoeld in artikel 9 AVG:

      • betreffende iemands levensovertuiging of godsdienst, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging

      • strafrechtelijke persoonsgegevens en

      • persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, of

    • B.

      persoonsgegevens die anderszins van gevoelige aard zijn, waaronder:

      • gegevens over de financiële of economische situatie van de betrokkene;

      • gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene;

      • gebruikersnamen, wachtwoorden en andere inloggegevens;

      • gegevens die kunnen worden misbruikt voor (identiteits-)fraude;

      • gegevens uit DNA-databanken, gegevens waar een bijzondere, wettelijk bepaalde geheimhoudingsplicht op rust en gegevens die onder een beroepsgeheim vallen.

  • 2.

    De aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen. Hierbij is van belang:

    • A.

      gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen?

    • B.

      zijn de beslissingen die o.b.v. de verwerkte persoonsgegevens worden genomen ingrijpend?

    • C.

      worden de persoonsgegevens binnen ketens (zoals binnen de overheid) gedeeld?

    • D.

      gaat het om persoonsgegevens van kwetsbare groepen?

       

Bijlage 4 PROCEDURE 4: moet het datalek worden gemeld aan de betrokkene?

 

Het datalek hoeft niet te worden gemeld aan de betrokkene(n) indien één van de volgende situaties zich voordoet:

 

  • 1.

    u bent een financiële onderneming zoals bedoeld in de Wet op het financieel toezicht;

  • 2.

    er zijn passende technische beschermingsmaatregelen genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens, bijvoorbeeld door adequate encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code);

  • 3.

    andere technische beschermingsmaatregelen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten, bijvoorbeeld door een tijdige en adequate remote wiping (het op afstand wissen van de gegevens die op een apparaat staan) en pseudonimisering (technische maatregelen om te voorkomen dat persoonsgegevens worden gekoppeld aan de oorspronkelijke identiteit van de betrokkene);

  • 4.

    het is onwaarschijnlijk dat het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene: als persoonsgegevens van gevoelige aard zijn gelekt, moet sowieso worden gemeld;

  • 5.

    er zijn andere zwaarwegende redenen om de melding aan de betrokkene achterwege te laten.

     

In de kennisgeving aan de betrokkene moet in ieder geval worden vermeld:

 

  • 1.

    de aard van de inbreuk;

  • 2.

    de instanties waar de betrokkene meer informatie over de inbreuk kan krijgen (contactgegevens) en

  • 3.

    de maatregelen die zijn aanbevolen om de negatieve gevolgen van de inbreuk te beperken.

     

Het datalek moet onverwijld worden gemeld. Dit houdt in dat de verantwoordelijke, na het ontdekken van een mogelijk datalek, enige tijd mag nemen voor nader onderzoek zodat betrokkene op een behoorlijke en zorgvuldige manier kan worden geïnformeerd.

 

 

Naar boven