Procedure datalek

Definitie datalek
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek kan o.a. het gevolg van een beveiligingsprobleem of van onzorgvuldig beheer zijn. Het kan dus gaan om uitgelekte computerbestanden, een gestolen geprinte deelnemers- en vrijwilligerslijst.
Andere mogelijkheden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

 

Protocol

  • Een datalek wordt in principe bij het secretariaat gemeld.
  • Het secretariaat informeert alle bestuursleden en de systeembeheerder(s).
  • De systeembeheerder(s) en een aangewezen bestuurslid onderzoekt hoe het datalek is ontstaan.
  • Het bestuur bepaalt wat de gevolgen kunnen zijn voor de personen van wie de persoonsgegevens gelekt zijn en communiceert dat met hen.
  • SICH is verplicht datalekken te melden binnen 72 uur na ontdekking.
  • Eén van de bestuursleden doet de melding bij de Autoriteit Persoonsgegevens.
  • Een melding bevat de volgende gegevens:
    • De aard van de inbreuk.
    • De veroorzaker waar meer informatie over de inbreuk kan worden verkregen.
    • De aanbevolen maatregelen door SICH om de negatieve gevolgen van de inbreuk te beperken.
    • Een beschrijving van de geconstateerde en de verwachtte gevolgen van de inbreuk.
    • De maatregelen die SICH heeft genomen of voorstelt om soortgelijke calamiteiten te verhelpen.
  • Bij onzorgvuldig beheer zal het bestuur naar de veroorzaker passend reageren.

 

Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl