Procedure Datalek2019-05-20T10:01:03+00:00

In het kader van de Privacywetgeving geldt sinds 1 januari 2016 de meldplicht datalekken. Met deze meldplicht is bij wet geregeld dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP), zodra er sprake is van een datalek. Hierbij moet er kans zijn op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. In een aantal gevallen moet dit datalek ook gemeld worden aan de betrokkenen.

De Supportersclub Willem II dient zich als organisatie ook te conformeren aan deze meldplicht.

In deze procedure wordt daarom beschreven wat er dient te gebeuren op het moment dat er sprake is van een (vermeend) datalek bij de Supportersclub Willem II.

Procedure

Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp).
Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de Cloud of bij externe hosting van een website waar persoonsgegevens worden verwerkt.

Het belang van een adequate melding is groot. Indien een melding te laat gedaan wordt of indien er sprake is van ernstige tekortkomingen aan de zijde van de Supportersclub Willem II, kan er een boete van maximaal €820.000,00 of 10% van de netto jaaromzet opgelegd worden. Een melding van een (mogelijk) datalek moet binnen 72 uur gedaan worden.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden van datalekken zijn:

  • een kwijtgeraakte USB-stick met persoonsgegevens;
  • een gestolen laptop;
  • een inbraak in een databestand door een hacker.

1. Datalek melden

Op het moment dat je het idee hebt dat er een datalek is, moet dit zo snel mogelijk gemeld worden aan het Bestuur van de Supportersclub Willem II. Hiervoor gebruik je het mailadres info@willem.org. Bij twijfel of voor advies kun je ook van dit e-mailadres gebruik maken of telefonisch contact opnemen via 06-28613845.

Via deze mailbox worden direct de juiste personen die betrokken zijn bij de afhandeling van een datalek op de hoogte gesteld. Het moment van mailen naar dit e-mailadres is het moment waarop de constatering formeel plaatsvind.

Wanneer is iets mogelijk een datalek?

Naar letter van de wet kan iets al heel snel een datalek zijn. Hieronder volgen enkele voorbeelden:

  • Een e-mail/nieuwsbrief die gestuurd is naar de verkeerde persoon en gelezen wordt door iemand anders dan de persoon waar deze voor bestemd was;
  • Een ledenlijst met persoonsgegevens, die verstrekt is aan iemand die hier geen inzicht in had mogen hebben;
  • Een presentielijst met adresgegevens die verdwenen is uit het kantoor van de Supportersclub Willem II;
  • Een post-it met de naam, geboortedatum en het e-mailadres van een lid, dat is blijven rondslingeren en voor onbevoegden inzichtelijk is geweest;
  • Een maillijst die verstrekt is aan een externe partij die dit niet had mogen ontvangen.

2. Bepalen of het een datalek is

Er zal nu bepaald moeten worden of het gemelde issue daadwerkelijk een datalek is. Tevens moet er bepaald worden of het lek ernstig genoeg is dat de betrokkenen (de personen waarvan gegevens
gelekt zijn) geïnformeerd dienen te worden. Indien er informatie niet duidelijk is zal er geprobeerd worden om dit duidelijker te krijgen bij de melder.

3. Melding maken bij de AP

Indien er wordt bepaald dat het daadwerkelijk een datalek betreft, dient er een melding gemaakt te worden bij de AP. Dit wordt gedaan door het landelijk servicecentrum. De melder wordt hiervan op de hoogte gebracht.

4. Betrokkenen informeren

Indien de aard van het datalek dusdanig is dat de betrokkenen dienen te worden geïnformeerd zal dit zo snel mogelijk gedaan worden. De vorm van communicatie hangt af van de hoeveelheid gegevens die gelekt is. Het informeren zal gedaan worden door het landelijk servicecentrum. De melder wordt hiervan op de hoogte gebracht.

5. Vastleggen datalek

Een datalek dat gemeld is bij de AP dient vastgelegd te worden in een dossier, ook dit neemt het landelijk servicecentrum voor haar rekening.