Protocol datalekken

DATALEKKENPROTOCOL NEW DUTCH CONNECTIONS

betreffende procedures inzake de melding en afhandeling van datalekken

 

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks. Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek. Als een bedrijfstelefoon verloren of gestolen wordt, dan is dat mogelijk een datalek. Als een privé-telefoon kwijtraakt is er geen datalek (de Wbp is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden).

1.                 Inleiding

1.1.             Dit document beschrijft de handelingen te verrichten door New Dutch Connections bij een datalek zoals gedefinieerd in de Wet Bescherming Persoonsgegevens (‘Wbp’).

1.2.             Van een datalek is sprake bij een inbreuk op de beveiliging van persoonsgegevens (als bedoeld in artikel 13 van de Wbp). De persoonsgegevens zijn dan blootgesteld aan verlies of onrechtmatige verwerking.

1.3.             Een datalek dient onverwijld te worden gemeld aan de Autoriteit Persoonsgegevens (‘AP’), en in bepaalde gevallen ook aan de betrokkene(n). De betrokkene is degene van wie persoonsgegevens zijn gelekt.

1.4.             De meldplicht is eveneens van toepassing op New Dutch Connections als het datalek bij een derde is ontstaan, bijvoorbeeld een bewerker van persoonsgegevens van New Dutch Connections (‘Bewerker’).

2.                 Identificatie van een datalek: organisatie

2.1.             De medewerker die een (mogelijk) datalek constateert, meldt dit incident per omgaande bij de directie van New Dutch Connections en aan de functionaris gegevensbescherming (‘FG’) van New Dutch Connections.

2.2.             Een medewerker van New Dutch Connections of een Bewerker is te allen tijde bevoegd zelfstandig een melding te doen aan de FG. De procedure meldplicht datalekken als omschreven in dit protocol wordt dan gestart.

3.                 Wanneer moet een datalek worden gemeld?

Niet alle incidenten hoeven aan de AP te worden gemeld. Alleen incidenten die voldoen aan de volgende criteria moeten worden gemeld:

  • een incident waarvoor een ‘aanzienlijke kans’ bestaat op ernstige nadelige gevolgen voor de personen van wie de gegevens zijn zoekgeraakt;
  • een incident die ernstige gevolgen kan hebben voor de bescherming van persoonsgegevens (bijvoorbeeld het verliezen van een USB stick met persoonsgegevens) .

Of een datalek de AP en/of betrokke(n) moet worden gemeld wordt onderstaand nader uitgewerkt.

 

4.                 Identificatie van een incident/is er sprake van een datalek?

4.1.             De FG draagt zo spoedig mogelijk zorg voor het inventariseren en verzamelen van de informatie die benodigd is voor het (eventueel) melden van een datalek aan de AP. Daarbij kan het formulier van de AP voor het melden van datalekken als uitgangspunt dienen. Het formulier is te vinden op het volgende adres:

https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1

 

4.2.             Op basis van de verkregen informatie en bij het vermoeden van een datalek wordt in overleg tussen de zakelijk leider en voorzitter van het bestuur, de FG en de eventuele overige verantwoordelijke en/of betrokken personen in de organisatie van New Dutch Connections of de betreffende Bewerker, beoordeeld of daadwerkelijk sprake is van een datalek.

4.3.             In dat overleg kan tevens worden beoordeeld of er acuut maatregelen dienen te worden genomen om de schade zoveel mogelijk te beperken, waaronder het doen van een (voorlopige) melding aan betrokkenen. Indien nodig kan advies gevraagd worden aan de juridisch adviseur en/of de communicatieadviseur, indien aanwezig.

4.4.             Wanneer er sprake is van een incident dat gemeld moet worden aan de AP kan gebruik worden gemaakt van de overzichten in de beleidsregels ‘Meldplicht datalekken in de Wet bescherming persoonsgegevens’ van de AP, die als bijlage 1 aan dit protocol zijn gehecht en daarnaast zijn te vinden op het volgende adres:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

4.5.             Bij de beoordeling van de vraag of sprake is van een datalek zijn de volgende factoren van belang:

  • is er sprake van onrechtmatige verwerking van persoonsgegevens?

hiermee wordt onder andere gedoeld op de onbedoelde of onwettige vernietiging, verlies of wijziging van verwerkte persoonsgegevens of een niet toegestane toegang tot verwerkte persoonsgegevens of de niet toegestane verstrekking daarvan;

  • is er sprake van verlies van persoonsgegevens?

dit betekent New Dutch Connections (of feitelijk haar Bewerker) deze gegevens niet meer heeft, omdat ze zijn vernietigd of op een andere wijze verloren zijn gegaan;

  • is er sprake van een enkele tekortkoming of kwetsbaarheid in de beveiliging?
  • kan er redelijkerwijs worden uitgesloten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid?
  • zijn er persoonsgegevens van gevoelige aard gelekt?

bijzondere persoonsgegevens (artikel 16 Wbp) zijn onder andere (i) gegevens over de financiële of economische situatie van de betrokkene, (ii) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, (iii) gebruikersnamen, wachtwoorden en andere inloggegevens en (iv) gegevens die kunnen worden gebruikt voor (identiteits)fraude;

  • leiden de aard en de omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen?

bij de beoordeling of daarvan sprake is zijn onder andere van belang: (i) de omvang van de verwerking, (ii) de vraag of het om veel persoonsgegevens per persoon gaat en/of om gegevens van grote groepen betrokkenen, (iii) de impact van verlies of onrechtmatige verwerking van persoonsgegevens, (iv) het delen van de persoonsgegevens met derden waardoor de gevolgen van verlies en onbevoegde wijziging van persoonsgegevens ook elders impact kunnen hebben en (v) betrokkenheid van kwetsbare groepen.

4.6.             Indien het incident niet heeft geleid tot verlies of onrechtmatige verwerking van persoonsgegevens is er geen sprake van een datalek maar van een beveiligingslek. In dat geval is melding aan de AP niet nodig.

4.7.             Indien tot de conclusie wordt gekomen dat sprake is van een (mogelijk) datalek, wordt het communicatietraject richting betrokkene(n) en (eventueel) de betreffende Bewerker tussen de directie van New Dutch Connections en de FG besproken.

5.                 Melden aan de Autoriteit Persoonsgegevens

5.1.             De directie van New Dutch Connections of de FG verzorgt de tijdige melding bij de AP volgens het hierboven onder 4.1 genoemde meldingsformulier van de AP. De melding dient op grond van de Wbp onverwijld, zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek te geschieden. Het bestuur wordt tevens op de hoogte gesteld van de melding.

5.2.             De directie van New Dutch Connections (of verzoek van de directie, de FG) fungeert als contactpersoon inzake de communicatie met de AP. Afhankelijk van de aard van het datalek of indien blijkt dat het incident geen datalek is dan de melding aan de AP worden aangevuld of ingetrokken.

5.3.             De directie of, op verzoek van de directie, de FG draagt ervoor zorg dat de bij het incident betrokken medewerkers worden geïnformeerd en vraagt de bij het incident betrokken medewerkers zo snel mogelijk een verslag op te stellen over de toedracht van het incident. Deze schriftelijke informatie wordt aan de directie en de FG verstrekt behoeve van het datalekkendossier van New Dutch Connections.

5.4.             Na ontvangst van de melding aan de AP zal de AP daarvan een ontvangstbevestiging sturen. De AP neemt alleen contact op indien de AP daartoe aanleiding ziet.

6.                 Is sprake van een hack?

Bij een datalek als gevolg van een (niet-ethische) hack (artikel 138ab Wetboek van Strafrecht), is het van belang om vast te stellen wat de aard van de gelekte persoonsgegevens is en wat de risico’s van misbruik voor de betrokkene(n) zijn. Bij een hack kan het naast het doen van de melding bij de AP ook zinvol zijn om aangifte te doen bij de politie. De FG zal daarvoor in dat geval in overleg met de directie van New Dutch Connections zorgdragen.

7.                 Dient het datalek te worden gemeld aan betrokkene(n)?

7.1.             Indien een datalek is gemeld aan de AP dient te worden vastgesteld of het datalek ook moeten worden gemeld aan degenen om wiens persoonsgegevens het gaat. De directie zal dat in overleg met de FG vaststellen.

7.2.             De beoordeling of er sprake is van een incident dat gemeld moet worden aan de betrokkenen kan tot stand komen met behulp van de overzichten in de beleidsregels ‘Meldplicht datalekken in de Wet bescherming persoonsgegevens’ van de AP zoals hierboven genoemd.

7.3.             Bij de afweging of het datalek dient te worden gemeld aan betrokken is onder andere het volgende van belang:

  • indien New Dutch Connections passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens, dan kan de melding aan de betrokkene(n) achterwege blijven. Indien daarover wordt getwijfeld dan dient het datalek aan de betrokkene(n) gemeld te worden;

 

  • het datalek moet aan de betrokkene(n) worden gemeld indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer;

Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik van persoonsgegevens in hun belangen worden geschaad. De schade kan van materiële of van immateriële aard zijn, waarbij kan worden gedacht aan onrechtmatige publicatie, aantasting in eer en goede naam, identiteitsfraude of discriminatie;

7.4.             De melding aan de betrokkene(n) mag achterwege blijven als daarvoor zwaarwegende redenen aanwezig zijn. De melding mag alleen achterwege mag blijven als dit noodzakelijk is met het oog op de belangen die worden genoemd in artikel 43 Wbp ((i) de veiligheid van de staat, (ii) de voorkoming, opsporing en vervolging van strafbare feiten, (iii) gewichtige economische en financiële belangen van de staat en andere openbare lichamen, (iv) het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder (ii) en  (iii), of (v) de bescherming van de betrokkene of van de rechten en vrijheden van anderen).

8.                 Handelwijze melding aan betrokkene(n)

8.1.             In opdracht van de directie van New Dutch Connections stelt de FG in samenspraak met de communicatieadviseur en juridisch adviseur een kennisgeving aan betrokkene(n) op. De FG bepaalt wat aan de betrokkene(n) wordt gemeld.

8.2.             De melding bevat in ieder geval de aard van de inbreuk, contactgegevens van New Dutch Connections en een contactpersoon of informatiepunt waar de betrokkene(n) meer informatie over de inbreuk kan (kunnen) krijgen, en de maatregelen die New Dutch Connections de betrokkene(n) aanbeveelt om te nemen om de negatieve gevolgen van de inbreuk te beperken.

8.3.             Het datalek moet onverwijld gemeld worden aan de betrokkene(n). Dit betekent dat New Dutch Connections na het ontdekken van het datalek enige tijd mag nemen voor nader onderzoek zodat New Dutch Connections de betrokkene op een behoorlijke en zorgvuldige manier kan informeren. Daarbij dient te allen tijde rekening te worden gehouden met het (eventuele) feit dat de betrokkene(n) naar aanleiding van de melding mogelijk maatregelen moet(en) nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder de betrokkene(n) daarover wordt geïnformeerd, hoe eerder deze in actie kan komen.

8.4.             De betrokkene(n) worden individueel geïnformeerd.

8.5.             n de melding aan de AP is aangegeven of het datalek aan betrokkene(n) is gemeld. Indien de aan de AP aangegeven termijn waarbinnen die melding zou worden gedaan aan de betrokkene(n) niet kan worden gehaald dan dient de FG dit aan de AP door te geven door middel van een aanpassing van de eerdere melding.

9.                 Datalek-onderzoek en vaststellen verbetermaatregelen

9.1.             De FG stelt zo spoedig mogelijk na de vaststelling van het incident een (intern) onderzoek in naar de feitelijke toedracht van het (mogelijke) datalek en betrekt daarbij de vraag of en hoe dergelijke incidenten in de toekomst kunnen worden voorkomen.

9.2.             In overleg met de directie van New Dutch Connections mag de FG daartoe met medewerkers van New Dutch Connections en/of overige relevante personen (zoals eventueel medewerkers van de Bewerker(s) van New Dutch Connections)  spreken, alle relevante documenten inzien en toegang hebben tot alle plaatsen, voor zover noodzakelijk voor een zorgvuldig onderzoek;

9.3.             De FG kan de directie van New Dutch Connections voorstellen om waar nodig externe partijen te betrekken indien dat voor een deugdelijk onderzoek noodzakelijk is.

9.4.             De FG rapporteert de conclusies van het hiervoor bedoelde onderzoek zo spoedig mogelijk aan de directie en het bestuur van New Dutch Connections.

9.5.             In overleg waarbij in ieder geval de directie van New Dutch Connections en de FG aanwezig zijn zullen de uitkomsten van het hiervoor genoemde onderzoek worden besproken en afspraken worden gemaakt over verbetermaatregelen om herhaling van het incident zoveel mogelijk te voorkomen.

9.6.             De directie van New Dutch Connections meldt aan haar bestuur welke verbetermaatregelen worden geïmplementeerd en ziet er op toe dat de vastgestelde verbetermaatregelen worden geïmplementeerd en in de organisatie van New Dutch Connections (en waar nodig extern, zoals aan een Bewerker) worden gecommuniceerd.

10.              Datalek-dossier

Het datalek-dossier wordt digitaal bij de FG en het secretariaat van de directie van New Dutch Connections bewaard voor de duur van minimaal 1 jaar. Er kan een langere termijn van minimaal 3 jaar van toepassing zijn zoals bedoeld in de beleidsregels ‘Meldplicht datalekken in de Wet bescherming persoonsgegevens’ van de AP, pagina 46.
Aldus op 31 maart 2017 vastgesteld door de directie van New Dutch Connections