Bel ons op +31 33 45 06 506

Meldplicht datalekken

De meldplicht datalekken in de Wet bescherming persoonsgegevens eist dat u eventuele datalekken meldt aan de Autoriteit Persoonsgegevens. De “Beleidsregels meldplicht datalekken” van de Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij informeren klanten  tijdig, juist en volledig over relevante incidenten, zodat u aan de wettelijke vereisten kunt voldoen. Vragen en antwoorden die hierbij relevant zijn:

1. Wat is een datalek?

Voor het bepalen of iets een datalek is, hanteert Raet de wet en de ‘beleidsregels meldplicht datalekken’ als leidend. Onder een datalek worden alle beveiligingsincidenten verstaan waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens. Het kan gaan om het verlies van USB-stick of computer, inbraak door een hacker, verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacentrum.

2. Op welk moment meldt Raet een datalek? 

Raet stelt u hiervan zo spoedig mogelijk in kennis, uiterlijk binnen 36 uur na het constateren ervan. Om dit te realiseren, zorgen wij ervoor dat al onze personeelsleden in staat zijn, en blijven, om een datalek te constateren en verwachten wij van onze opdrachtnemers dat zij ons in staat stellen om aan deze termijn te voldoen. Voor de duidelijkheid: als er een datalek is bij een opdrachtnemer van Raet, dan melden wij dit uiteraard ook. Raet is daarvoor dan het contactpunt voor uw organisatie en u hoeft niet te schakelen met meerdere organisaties. 

3. Gaat Raet zelf de meldingen doen aan de Autoriteit Persoonsgegevens?

De primaire verantwoordelijkheid voor het melden ligt bij uw organisatie. In eerste instantie informeren wij daarom uw contactpersoon (zie vraag 4). Uiteraard zorgt Raet ervoor dat uw organisatie alle benodigde informatie tijdig, juist en volledig ontvangt.

4. Hoe gaat Raet datalekken aan u melden?

Indien er een contactpersoon/meldpunt datalekken bij ons bekend is, wordt deze geïnformeerd. Als deze niet bekend is, wordt uw Functionaris Gegevensbescherming geïnformeerd. Mocht ook die niet bekend zijn, dan informeren we uw directie. 

5. Welke informatie wordt aan u verstrekt? 

We trachten zoveel mogelijk informatie die u van ons nodig heeft voor de eventuele melding aan de Autoriteit Persoonsgegevens met u te delen. Hierbij volgen we de informatielijst uit de eerder genoemde beleidsregels. Dit omvat in ieder geval (i) de aard van de inbreuk, (ii) de getroffen maatregelen om de negatieve gevolgen van het datalek te beperken en (iii) een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die Raet heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Indien niet alle gegevens bekend zijn op het moment van melding, informeren wij u zo spoedig mogelijk zodra deze informatie wel bij ons bekend wordt (zie vraag 7).

6. Op welke termijn wordt u geïnformeerd?

De Wbp geeft aan dat er ‘onverwijld’ gemeld moet worden. De Autoriteit Persoonsgegevens gaat uit van 72 uur. Raet informeert u daarom zo snel mogelijk – binnen enkele uren maar in elk geval binnen 36 uur – na het ontdekken van een datalek, zodat u tijdig de melding kunt doen bij de Autoriteit Persoonsgegevens. Wij verwachten tevens van onze opdrachtnemers dat zij ons in staat stellen om aan deze termijn te voldoen.

7. Hoe wordt u op de hoogte gehouden over voortgang en maatregelen?

Wij maken hierover afspraken met uw primaire contactpersoon bij de initiële melding. In ieder geval houden wij u op de hoogte in geval van een wijziging van de situatie of het bekend worden van nadere informatie. 

8. Hoe krijgt u voldoende zekerheid dat de informatie van Raet juist, tijdig en volledig is?

Raet registreert alle security incidenten. De registratie en afhandeling van security incidenten wordt getoetst met een audit in het kader van de ISO27001 certificering.

9. Hoe kunt u uw bestaande bewerkersovereenkomst wijzigen of alsnog een bewerkersovereenkomst afsluiten?

Raet biedt de mogelijkheid om een standaard bewerkersovereenkomst aan te gaan. U kunt daarvoor onderstaande document downloaden, invullen, ondertekenen en aan uw Raet accountmanager zenden. U kunt de standaard bewerkersovereenkomst hier downloaden.

Incident Response plan

In het geval van een beveiligingsincident moeten we snel en effectief reageren. In het incident response plan is op basis van de wetgeving en best practices beschreven welke handelingen we moeten ondernemen om de schade te beperken, het incident op te lossen en de vervolgstappen te bepalen. Het incident response plan beschrijft wat we onder een beveiligingsincident verstaan, wie betrokken zijn of zouden kunnen worden bij de afhandeling van een beveiligingsincident, hoe de prioriteiten worden bepaald en een uitgebreide checklist op basis waarvan de afhandeling van het beveiligingsincident wordt uitgevoerd. Uiteraard gaat het plan ook in op de communicatie met betrokkenen.

Volg ons

Tussen 27 juni en 6 juli vinden de Raet Zorgdagen voor klanten weer plaats op vier locaties. Meld u nu aan: https://t.co/nl73rVBHMN