Meldplicht Datalekken

Uit NORA Online
ISOR:Meldplicht Datalekken
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)
ID: PRIV_C.03
Privacyprincipe
Versie: 3.3
Status: Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified): 16-10-2017
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.: 19-6-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de C van Control
Control
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Verwante principes

Privacy Control: het control- of beheerdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensAVG Art. 4.

NB: De Engelse tekst spreekt hier van "personal data breach".

De meldplicht datalekken wordt behandeld in AVG Art. 33 en 34. Zie ook AVG overweging 85. In de UAVG is niets over de meldplicht opgenomen, anders dan het uitsluiten van financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (UAVG Art. 42).


Criterium

De verwerkingsverantwoordelijke meldt een datalek binnen de daaraan gestelde termijn aan de Autoriteit Persoonsgegevens, documenteert de inbreuk, en informeert de betrokkene, tenzij hiervoor een uitzondering geldt.

Doelstelling

Het doel van 'Meldplicht datalekken' is negatieve consequenties van een datalek te beperken en waar mogelijk te voorkomen.

Risico

Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG Art. 33 en 34 en UAVG Art. 41 en 42 .

Onderliggende normen

IDConformiteitsindicatorStellingPagina
PRIV_C.03.01.01meldt een datalekEen datalek is op basis van de AVG gemeld bij de AP, tenzij een uitzondering van toepassing is.Datalek melden aan de AP
PRIV_C.03.01.02meldt een datalekDe melding aan de AP bevat ten minsteAVG Art. 33a lid 3:
  1. De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
  2. De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  3. De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  4. De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Eisen aan de melding aan AP
PRIV_C.03.01.03meldt een datalekEen datalek is gemeld aan betrokkene, tenzij een uitzondering van toepassing is (zie /04.02).Datalek melden aan betrokkene
PRIV_C.03.01.04meldt een datalekIn de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoonsgegevens ten minste het volgende omschreven of meegedeeldAVG Art. 33, lid 3b, 3c en 3d:
  • De naam en de contactgegevens van de Functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
    		• Eisen aan de melding aan betrokkene
    PRIV_C.03.01.05meldt een datalekDe melding aan de betrokkene is in duidelijke en eenvoudige taal.Duidelijke en eenvoudige taal
    PRIV_C.03.02.01gestelde termijnEen verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.Inbreuk melden aan verwerkingsverantwoordelijke
    PRIV_C.03.02.02gestelde termijnDe melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen.Termijn voor melden aan AP
    PRIV_C.03.02.03gestelde termijnAls de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.Motivering bij vertraagde melding
    PRIV_C.03.02.04gestelde termijnDe melding aan de betrokkene gebeurt onverwijld.Directe melding aan betrokkene
    PRIV_C.03.03.01documenteert de inbreukDe verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Registratie en documentatie van de inbreuken
    PRIV_C.03.03.02documenteert de inbreukDe documentatie stelt de AP in staat de naleving te controleren.Naleving controleren op basis van documentatie
    PRIV_C.03.03.03documenteert de inbreukDe documentatie bevat de noodzakelijke gegevens plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.Noodzakelijke gegevens in de documentatie
    PRIV_C.03.03.04documenteert de inbreukHet feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkeneAVG overweging 87.Kennisgeving vastleggen
    PRIV_C.03.04.01uitzonderingDe verantwoordelijke hoeft het datalek niet te melden aan de AP als:
  • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, of:
  • Wanneer melding afbreuk zou doen aan een zwaarwegend belang;
  • De verantwoordelijke een aanbieder is van openbare elektronische communicatiediensten zoals bedoeld in de TelecommunicatiewetAVG Art. 95.
    		• Uitzondering op meldplicht aan AP
    PRIV_C.03.04.02uitzonderingDe verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
    • Het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, en/of:
    • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, en/of:
    • De verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het bij het eerste streepje bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of:
    • De mededeling onevenredige inspanningen zou vergen; in dat geval komt in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd, of:
    • Het een verwerking is die berust op een andere wettelijke bepaling waarvoor een specifieke meldplicht geldt AVG Art. 23; UAVG Art. 42, of:
    • De organisatie een financiële onderneming is in de zin van de Wet op het financieel toezichtUAVG Art. 42.
    • De verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit plaatsvindt, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteitAVG overweging 18.
    		Uitzondering op meldplicht aan betrokkene


    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Meldplicht_Datalekken&oldid=43210"