In dit Protocol wordt de handelswijze van OMNN beschreven van de wijze waarop wordt omgegaan met (vermoedelijke) datalekken, zoals bedoeld in de Wet Bescherming Persoonsgegevens (WBP). Bij het opstellen zijn de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens als uitgangspunt gebruikt.
Een ieder heeft recht op een zorgvuldige omgang ten aanzien van zijn of haar persoonlijke gegevens. In de Wet Bescherming Persoonsgegevens zijn regels vastgelegd waaraan ook OMNN zich dient te houden. Alle persoonsgegevens waarmee wij werken worden beveiligd.
Een onbedoeld datalek is: De toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, echter zonder dat dit de bedoeling is van deze organisatie. Oftewel: Vertrouwelijke persoonsgegevens vallen in handen van derden die geen toegang tot of inzicht in die gegevens zouden mogen hebben.
Onder een datalek valt niet alleen het vrijkomen, het zogenaamde lekken, van gegevens. Een onrechtmatige verwerking van gegevens valt ook onder datalekken. Een datalek kan veroorzaakt worden door het verliezen van een gegevensdrager zoals een laptop of usb-stick door diefstal, een e-mailbericht wat aan het verkeerde persoon gericht is of door ongeautoriseerde toegang in een systeem door hackers.
Als er sprake is van een inbreuk op de persoonsgegevens is dat altijd een gevolg van een beveiligingsprobleem. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking, dus aan datgene waartegen de beveiligingsmaatregelen bescherming zouden moeten bieden.
Een ernstig datalek dient binnen 72 uur te worden gemeld bij de Autoriteit Persoonsgegevens. In een aantal gevallen dient het datalek ook gemeld te worden aan de betrokkenen, oftewel de mensen van wie de persoonsgegevens zijn gelekt.
Procedure melden
Als wij bij OMNN het vermoeden hebben van een datalek zal dat meteen gemeld worden aan mevrouw Corine van Dijk, directeur van OMNN.
Mevrouw Van Dijk registreert iedere melding, ook vermoedens, in een daartoe aangelegd bestand, en neemt contact op met de melder voor aanvullende gegevens over de melding. Informatie voor het afhandelen van het incident wordt in een veilige omgeving bewaard.
Mevrouw Van Dijk maakt vervolgens een afweging of er inderdaad sprake is van een datalek. Indien de conclusie is dat het incident moet worden gemeld aan de Autoriteit Persoonsgegevens, dan zal mevrouw Van Dijk opdracht geven tot melding. Indien nodig zullen ook betrokkenen hierover geïnformeerd worden.
Om te kunnen bepalen of er daadwerkelijk sprake is van een datalek worden de volgende stappen gevolgd:
(1) Is er kans op een inbreuk op de beveiliging of zijn er gegevens verloren gegaan?
Hiervan is in twee situaties sprake:
• Persoonsgegevens zijn verloren gegaan: ze zijn vernietigd en OMNN beschikt niet over een complete en actuele reservekopie (back-up). De inbreuk leidt dus tot verlies van de persoonsgegevens.
• Redelijkerwijs kan niet worden uitgesloten dat de persoonsgegevens onrechtmatig worden verwerkt. Hieronder wordt verstaan: onbevoegde kennisneming, wijziging of verstrekking van de gegevens. Ofwel: de inbreuk leidt mogelijk tot misbruik van de persoonsgegevens.
(2) Zijn er persoonsgegevens onrechtmatig verwerkt?
De kans op onrechtmatige verwerking moet ruim worden opgevat. Het is mogelijk dat de repressieve maatregelen, het beperken van de negatieve gevolgen van het beveiligingsincident, én de herstelmaatregelen, het verhelpen van de negatieve gevolgen, die door OMNN na het incident worden getroffen niet voldoende zijn om deze kans in zijn geheel weg te nemen. Bij twijfel dient de vraag dus met “ja” beantwoord te worden.
Indien het onmogelijk is dat de gelekte persoonsgegevens onrechtmatig kunnen worden verwerkt, dan is het geen datalek en kan de vraag met “nee” worden beantwoord. Bijvoorbeeld: de beveiliging op een kwijtgeraakte laptop of smartphone is gegarandeerd sluitend, zodat verwerking uitgesloten kan worden.
(3) Zijn er aannemelijke nadelen voor de persoonlijke leefsfeer?
Is er een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens?
Deze kans is aannemelijk indien het een groot volume aan persoonsgegevens betreft of er is sprake van persoonsgegevens ‘van gevoelige aard’.
Indien persoonsgegevens van gevoelige aard zijn gelekt, zoals cliëntdossiers, geldt als uitgangspunt dat er sprake is van aantasting van de levenssfeer van betrokkene(n). In dat geval dient deze vraag met “ja” te worden beantwoord.
De omvang van het lek is van ondergeschikt belang. Bij een lek waar de ‘persoonsgegevens van
gevoelige aard’ van slechts één persoon bij betrokken is, wordt dit alsnog gezien als een lek met aannemelijke nadelen voor de persoonlijke leefsfeer en zal dit als een datalek worden behandeld.
Zodra er door mevrouw Van Dijk wordt geconstateerd dat er daadwerkelijk sprake is van een datalek bij OMNN zal de betrokkene(n) in kennis worden gesteld door mevrouw Van Dijk over de aard van het lek. Hierbij zal worden vermeld: de aard van de inbreuk, de vindplaats waar de betrokkenen meer informatie over de inbreuk kan krijgen en de maatregelen die OMNN de betrokkene(n) aanbeveelt om de negatieve gevolgen van de inbreuk te beperken.
(4) Meldplicht!
Mevrouw Van Dijk doet binnen 72 uur melding via het Meldloket Datalekken op de website van de Autoriteit Persoonsgegevens.
Uiteraard gaan wij bij OMNN op dezelfde wijze om met bedrijfsgegevens. Onze Algemene Voorwaarden zijn ook van toepassing op ons Veiligheidsprotocol Datalekken.
Assen, 2021