Meldplicht Datalekken
De BIO themadocumenten zijn levende documenten, die van tijd tot tijd een update krijgen. Wijzigingen die geïmplementeerd worden in Q4 2019:
|
Verwante principes |
Het bieden van inzicht in een datalek en de mogelijke gevolgen ervan, kan mogelijk (negatieve) consequenties voor de betrokkenen beperken. Een datalek is een "inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd AVG art. 4. De Engelse tekst spreekt hier van "personal data breach". De meldplicht datalekken wordt behandeld in Avg art. 33 en 34. Zie ook Avg overweging 85..
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit privacyprincipe:
- is gericht op Beveiligingsaspect Control
- valt binnen de IFGS-indeling IFGS Functie
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG. , in het bijzonder van Avg Art. 33; 34 en Uitvoeringswet Avg
Onderliggende normen
ID | Conformiteitsindicator | Stelling | Pagina |
---|---|---|---|
PRIV_C.03.01.01 | meldt een datalek | Een datalek is, tenzij een uitzondering van toepassing is (zie /04.01) op basis van de Avg gemeld bij de AP. | Meldt een datalek, aan AP |
PRIV_C.03.01.02 | meldt een datalek | De melding aan de AP bevat ten minsteAVG art. 33a lid 3.:
| Meldt een datalek, eisen aan de melding aan AP |
PRIV_C.03.01.03 | meldt een datalek | Een datalek is, tenzij een uitzonderingen van toepassing is (zie /04.02), gemeld aan de betrokkene. | Meldt een datalek, melding aan betrokkene |
PRIV_C.03.01.04 | meldt een datalek | In de melding aan de betrokkene wordt van de aard van de inbreuk in verband met persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd ten minste het volgende omschreven of meegedeeldAVG art. 33, lid 3b, 3c en 3d. :
| Meldt een datalek, eisen aan de melding aan betrokkene |
PRIV_C.03.01.05 | meldt een datalek | De melding aan de betrokkene is in duidelijke en eenvoudige taal. | Meldt een datalek, in duidelijke en eenvoudige taal |
PRIV_C.03.02.01 | gestelde termijn | Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. | Termijn melden aan verwerkingsverantwoordelijke |
PRIV_C.03.02.02 | gestelde termijn | De melding aan de AP heeft plaatsgevonden zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. | Termijn melden aan AP |
PRIV_C.03.02.03 | gestelde termijn | Als de melding aan de AP niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. | Termijn, motivering bij vertraagd melden |
PRIV_C.03.02.04 | gestelde termijn | De melding aan de betrokkene gebeurt onverwijld. | Termijn aan betrokkene |
PRIV_C.03.03.01 | documenteert de inbreuk | De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Documenteert de inbreuk, eisen aan de registratie |
PRIV_C.03.03.02 | documenteert de inbreuk | De documentatie stelt de AP in staat de naleving te controleren. | Documenteert de inbreuk, mogelijkheid tot controle |
PRIV_C.03.03.03 | documenteert de inbreuk | De documentatie bevat de noodzakelijke gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd plus de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. | Documenteert de inbreuk, noodzakelijke gegevens |
PRIV_C.03.03.04 | documenteert de inbreuk | Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene Overweging 87.. | Documenteert de inbreuk, m.b.t. kennisgeving |
PRIV_C.03.04.01 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de AP als:
| Uitzondering op melden van datalek aan AP |
PRIV_C.03.04.02 | uitzondering | De verantwoordelijke hoeft het datalek niet te melden aan de betrokkene als:
| Uitzondering op melden van datalek aan betrokkene |