Datum document: 30 april 2018
Laatste update: 30 april 2018
Verantwoordelijke: Oscar Marcel Volkers

Algemeen

Wat is een datalek?
In de AVG wordt een datalek gedefinieerd als: “iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot enige ongeoorloofde verwerking daarvan”. Datalekken moeten worden gemeld bij de toezichthouder en in sommige gevallen ook bij de betrokkene(n).

Onderstaand schema laat zien wat het verschil is tussen een beveiligingsincident en een datalek:

Er is sprake van een datalek bij verlies of onrechtmatige verwerking van persoonsgegevens.

Er is sprake van onrechtmatige verwerking indien:

• Persoonsgegevens zijn aangetast (bij versleuteling door bv ransomware)
• Onbevoegde kennisneming van de persoonsgegevens plaatsvindt;
• Persoonsgegevens ten onrechte zijn gewijzigd;
• Persoonsgegevens ten onrechte zijn versterkt.

NB: Het verzenden van een e-mail aan een adressenbestand waarin alle e-mailadressen voor iedereen zichtbaar zijn is ook al een datalek.

Een datalek dient gemeld te worden aan de Autoriteit Persoonsgegevens (AP), zeker wanneer het gaat om gegevens van gevoelige aard of om gegevens van grote groepen mensen. Gegevens van gevoelige aard zijn bijvoorbeeld gegevens over iemands financiële situatie, werkprestatie, medische aandoeningen, inloggegevens of BSN.

In sommige gevallen dient een datalek ook aan betrokkenen gemeld te worden. Dit geldt indien sprake is van verlies of onrechtmatige verwerking van persoonsgegevens die ongunstige gevolgen voor betrokkenen hebben. Dit zijn bijvoorbeeld gegevens van gevoelige aard, gegevens die leiden tot aantasting van goede naam, of gegevens die kunnen leiden tot identiteitsfraude of discriminatie. Er geldt geen meldplicht indien passende technische maatregelen zijn getroffen waardoor de gegevens bij kennisname onbegrijpelijk of ontoegankelijk zijn.

Bereikbaarheid Autoriteit Persoonsgegevens:
Telefoonnummer: 0900 – 2001 201
Openingstijden: ma t/m vrijdag tussen 9.00 en 12.00 uur en van 14.00 uur tot 17.00 uur
Meldplicht datalekken:
Telefoonnummer: 0900 – 3282 535
Of via de website: autoriteitspersoonsgegevens.nl onder menuknop ‘melden’.

Protocol
Indien zich binnen de organisatie van Bella Vista Opticien of bij een door Bella Vista Opticien ingeschakelde verwerker een inbreuk op de beveiliging voordoet, waarbij een aanzienlijke kans bestaat op verlies of onrechtmatige verwerking van persoonsgegevens die door Bella Vista Opticien worden verwerkt, dan wel dit verlies of onrechtmatige verwerking zich daadwerkelijk voordoet, zal Bella Vista Opticien daarvan melding doen bij de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengt.

Bella Vista Opticien heeft ervoor gekozen om een intern meldpunt datalek Bella Vista Opticien op te richten zodat het voor een ieder duidelijk is dat de eventuele datalek via dit intern orgaan wordt gecommuniceerd aan de betrokkenen.

Het interne meldpunt datalek Bella Vista Opticien
De leden van het interne meldpunt datalek Bella Vista Opticien zijn:
Oscar Marcel Volkers

De meldingen kunnen worden ingediend bij:
Bella Vista Opticien
Laanstraat 41
3743BA Baarn
035-5772919

Onmiddellijk nadat een werknemer ontdekt of ter ore komt dat sprake kan zijn van verlies of onrechtmatige verwerking van persoonsgegevens binnen Bella Vista Opticien, meldt hij dat aan het interne meldpunt datalek Bella Vista Opticien.

Het interne meldpunt datalek Bella Vista Opticien beslist of er sprake is van een (mogelijke) datelek en of dit (mogelijke) datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en/of bij de betrokkenen.

Het interne meldpunt datalek Bella Vista Opticien draagt zorg voor de melding aan de Autoriteit Persoonsgegevens en/of betrokkenen. Het is de werknemer niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of betrokkenen te melden. Als de werknemer het niet eens is met de beslissing van het interne meldpunt datalek Bella Vista Opticien om het (mogelijke) datalek wel – of niet te melden aan de Autoriteit Persoonsgegevens en/of de betrokkenen, dan kan hij zich richten tot de directie.

Het interne meldpunt datalek Bella Vista Opticien heeft eveneens als taak om de (mogelijke) datalekken te registreren. Hiervoor houdt zij een bestand bij waarin het volgende gemeld wordt:

• (mogelijk) datalek
• Datum van deze (mogelijke) datalek
• Gemeld aan de AP of niet
• Mogelijke betrokkenen geïnformeerd of niet
• Impact van het (mogelijke) datalek

Datalek protocol laatst bijgewerkt op 30-4-2018