Datalekken

Schuttersvereniging St. Anna - Oud-Zevenaar

Datalekken

Datalekken- bewerkers

 

In het kader van de Privacywetgeving geldt sinds 1 januari 2016 de meldplicht datalekken. Met deze meldplicht is bij wet geregeld dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP), zodra er sprake is van een datalek. Hierbij moet er kans zijn op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. In een aantal gevallen moet dit datalek ook gemeld worden aan betrokkenen. Schuttersvereniging Sint Anna Oud- Zevenaar dient zich als vereniging ook te conformeren aan deze meldplicht.

 

In deze procedure wordt daarom beschreven wat er dient te gebeuren op het moment dat er sprake is van een (vermeend) datalek bij een bewerker van Schuttersvereniging Sint Anna.

“Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreeks gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp). Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens door de opmaker van de lidmaatschapskaarten of bij externe hosting van een website waar persoonsgegevens worden verwerkt (registratie deelnemers Oldtimertreffen) ”.

Het belang van een adequate melding is groot. Indien een melding te laat gedaan wordt of indien er sprake is van ernstige tekortkomingen aan de zijde van Schuttersvereniging Sint Anna, kan er een boete worden opgelegd (bijvoorbeeld 10% van de netto jaaromzet). Een melding van een (mogelijk) datalek moet binnen 72 uur gedaan worden.

“Bij een datalek gaat het om toegang of vernietiging , wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming Persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking- dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

 

1. Datalek melden

 

Op het moment dat er een idee is dat er sprake is van een datalek, moet dit zo snel mogelijk gemeld worden aan het bestuur van Schuttersvereniging Sint Anna. Hiervoor gebruik je het mailadres bestuur@schutterijstanna.nl . Bij twijfel of voor advies kun je ook gebruik maken van dit mailadres of telefonisch contact opnemen met één van bestuursleden (gegevens te vinden op de website).

Via deze mailbox worden direct de juiste personen die betrokken zijn bij de afhandeling van een datalek op de hoogte gesteld. Het moment van mailen is naar dit emailadres is het moment waarop de constatering formeel plaatsvindt.

Wanneer is iets mogelijk een datalek?

Naar letter van de wet kan iets al heel snel een datalek zijn. Hieronder volgen enkele voorbeelden.

• Iemand heeft onbedoeld de beschikking gekregen over een NAW lijst van de leden van Schuttersvereniging Sint Anna;

• Een brief of mail die gestuurd is naar de verkeerde persoon en gelezen wordt door iemand anders dan de persoon waarvoor deze bestemd was;

• Een post-it met de naam, geboortedatum en het e-mailadres van een nieuw lid dat is blijven rondslingeren en voor onbevoegden inzichtelijk is geweest;

• Een maillijst die verstrekt is aan een externe partij die dit niet had mogen ontvangen.

 

2. Bepalen of het een datalek is

 

Er zal nu bepaald moeten worden of het gemelde issue daadwerkelijk een datalek is. Tevens moet er bepaald worden of het lek ernstig genoeg is dat de betrokkenen (de persoon waarvan de gegevens gelekt zijn) geïnformeerd dienen te worden. Indien er informatie onduidelijk is zal er geprobeerd worden om dit duidelijker te krijgen bij de melder.

 

3. Melding maken bij de AP

 

Indien er wordt bepaald dat het daadwerkelijk een datalek betreft, dient er melding gemaakt te worden bij het AP. Dit wordt gedaan door het bestuur van de Schuttersvereniging. De melder wordt hiervan op de hoogte gebracht.

 

4. Betrokkenen informeren

 

Indien de aard van het datalek dusdanig is dat de betrokkenen dienen te worden geïnformeerd zal dit zo snel mogelijk gedaan worden. De vorm van communicatie hangt af van de hoeveelheid gegevens die gelekt is. Het informeren zal gedaan worden door één van de bestuursleden. De melder wordt hiervan op de hoogte gesteld.

 

5. Vastleggen datalek

 

Een datalek gemeld bij de AP dient vastgelegd te worden in een dossier, ook hiervoor wordt door het bestuur zorg gedragen.

 

Copyright © Schuttersvereniging St. Anna, Oud-Zevenaar - Wepdiezainer -

Volg ons ook op: