Meldplicht Datalekken

1.Wat is een datalek?

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan, waarbij persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten. Bij een beveiligingsincident kan worden gedacht aan: een kwijtgeraakte USB-stick, gestolen laptop, inbraak door een hacker, malware-besmetting en calamiteiten, zoals een brand in een datacentrum.

2. Consequenties

Bij Melenhorst Accountants en Business Valuators B.V. (hierna: “MABV” of “wij”) werken we ook met persoonsgegevens, misschien ook wel uw persoonsgegevens, waarmee wij zorgvuldig omgaan. Mocht er onverhoopt toch sprake zijn van een beveiligingsincident dan hebben wij een interne instructie datalekken om tijdig te kunnen bepalen of er sprake is van een (ernstig) datalek, zoals bezien vanuit de AVG.

3. Meldingen naar aanleiding van datalekken

Indien sprake is van een beveiligingsincident die onder de reikwijdte van deze instructie valt, heeft de betrokkene de mogelijkheid deze te melden aan de directie van MABV.
De melding, zowel door internen als externen aan de directie, vindt uitsluitend elektronisch plaats via datalekken@melenhorst.info en moet in elk geval de volgende gegevens bevatten:
a. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d. de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

4. Interne procedure

In zijn algemeenheid is een melding alleen noodzakelijk als er persoonsgegevens van gevoelige aard zijn gelekt. Een melding is niet nodig als het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen (lees: betrokkenen). Als een inbreuk heeft plaatsgevonden en er is sprake van (een aanzienlijke kans op) nadelige gevolgen voor betrokkene dan is een melding aan de Autoriteit Persoonsgegevens noodzakelijk.
Indien wij ten aanzien van de gelekte persoonsgegevens optreden als verwerkingsverantwoordelijke, melden wij het datalek binnen 72 uur, nadat de directie hiervan kennis heeft genomen, aan de Autoriteit Persoonsgegevens. Indien de melding niet binnen 72 uur plaatsvindt, geven wij de reden voor de vertraging op. Indien wij ten aanzien van de gelekte persoonsgegevens optreden als verwerker en er wordt een inbreuk geconstateerd, dan brengen wij de verwerkingsverantwoordelijke (doorgaans de cliënt) zo snel mogelijk op de hoogte.

5. Geheimhouding/ rechtsbescherming
a. Alle medewerkers die op enigerlei wijze betrokken zijn bij de behandeling/ afhandeling van deze regeling, zijn verplicht tot geheimhouding overeenkomstig de binnen ons bedrijf geldende regels, met inbegrip van deze regeling.
b. Alle mededelingen die in het kader van de uitvoering van deze regeling worden gedaan, bevatten niet meer informatie dan voor het onderzoek, respectievelijk de uitvoering van deze regeling,
noodzakelijk is.
c. Directie van MABV garandeert medewerkers die meldingen doorgeven op grond van deze regeling, dat de melding op geen enkele wijze van negatieve invloed zal zijn op de bij haar werkzame personen, dan wel op de carrière van de bij haar werkzame personen.