Meldplicht Datalekken

De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019: Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging. Dit kader is ruimer dan alleen logische toegangsbeveiliging. Een deel van de inhoud van het oude thema komt terug in het nieuwe, de resterende pagina's vervallen en worden niet meer bijgehouden. De Privacy Baseline krijgt een nieuwe versie.

Privacyprincipe
ID:	PRIV_C.03
Versie:	3.1
Status:	Actueel
Publicatiedatum:
Redactionele wijzigingsdatum:	2017/10/16
Indeling
Beveiligingsaspect:	Control
Invalshoek:	Functie

Verwante principes

→ Privacy Control

→ de Privacy Baseline

→ Alle Normenkaders

→ Alle Privacyprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ^{AVG art. 4. De Engelse tekst spreekt hier van "personal data breach". De meldplicht datalekken wordt behandeld in Avg art. 33 en 34. Zie ook Avg overweging 85.}.

Criterium

De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de AP, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.

Doelstelling

Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.

Risico

Negatieve consequenties die persoonlijke levenssfeer van de betrokkene treffen.

Indeling binnen ISOR

Dit privacyprincipe:

is gericht op Beveiligingsaspect Control
valt binnen de IFGS-indeling IFGS Functie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 33; 34 en Uitvoeringswet Avg

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
PRIV_C.03.01.01	meldt een datalek	Een datalek is, tenzij een uitzondering van toepassing is (zie /04.01) op basis van de Avg gemeld bij de AP.	Meldt een datalek, aan AP
PRIV_C.03.01.02	meldt een datalek	De melding aan de AP bevat ten minste^{AVG art. 33a lid 3.}: de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoons-gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevens¬registers in kwestie; de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen; de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.	Meldt een datalek, eisen aan de melding aan AP
PRIV_C.03.01.03	meldt een datalek	Een datalek is, tenzij een uitzonderingen van toepassing is (zie /04.02), gemeld aan de betrokkene.	Meldt een datalek, melding aan betrokkene
PRIV_C.03.01.04	meldt een datalek	In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten minste het volgende omschreven of meegedeeld^{AVG art. 33, lid 3b, 3c en 3d.}: de naam en de contactgegevens van de Functionaris voor de Gegevens-bescherming of een ander contactpunt waar meer informatie kan worden verkregen; de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.	Meldt een datalek, eisen aan de melding aan betrokkene
PRIV_C.03.01.05	meldt een datalek	De melding aan de betrokkene is in duidelijke en eenvoudige taal.	Meldt een datalek, in duidelijke en eenvoudige taal
PRIV_C.03.02.01	gestelde termijn	Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.	Termijn melden aan verwerkingsverantwoordelijke
PRIV_C.03.02.02	gestelde termijn	De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.	Termijn melden aan AP
PRIV_C.03.02.03	gestelde termijn	Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.	Termijn, motivering bij vertraagd melden
PRIV_C.03.02.04	gestelde termijn	De melding aan de betrokkene gebeurt onverwijld.	Termijn aan betrokkene
PRIV_C.03.03.01	documenteert de inbreuk	De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.	Documenteert de inbreuk, eisen aan de registratie
PRIV_C.03.03.02	documenteert de inbreuk	De documentatie stelt de AP in staat de naleving te controleren.	Documenteert de inbreuk, mogelijkheid tot controle
PRIV_C.03.03.03	documenteert de inbreuk	De documentatie bevat de noodzakelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.	Documenteert de inbreuk, noodzakelijke gegevens
PRIV_C.03.03.04	documenteert de inbreuk	Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene^{Overweging 87.}.	Documenteert de inbreuk, m.b.t. kennisgeving
PRIV_C.03.04.01	uitzondering	De verantwoordelijke hoeft het datalek niet te melden aan de AP als: het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of: wanneer melding afbreuk zou doen aan een zwaarwegend belang; de verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de Telecommunicatiewet^{AVG art. 95.}; de organisatie een financiële onderneming is in de zin van de Wet op het financieel toezicht^{AVG art. 34.}.	Uitzondering op melden van datalek aan AP
PRIV_C.03.04.02	uitzondering	De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als: het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of: de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of: de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of: de mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of: het een verwerking is die berust op een wettelijke bepaling waarbij een specifieke uitzondering geldt^{AVG art. 23.}, of: de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit^{AVG overweging 18.}.	Uitzondering op melden van datalek aan betrokkene