Protocol melding datalekken

PROTOCOL MELDING DATALEKKEN PERSOONSGEGEVENS

Dit protocol beschrijft de procedure met daarin te nemen maatregelen die binnen de Austin Healey Owners Club Nederland, inbegrepen de Dutch Healey Competitions (hierna te noemen “AHOCN”) genomen moeten worden bij een datalek volgens de meldplicht datalekken van de Algemene Verordening Gegevensbescherming (AVG).

Wat zijn datalekken in de zin van de AVG?

Feiten en/of omstandigheden die de indruk geven dat bij de activiteiten van de AHOCN persoonsgegevens onterecht in de openbaarheid komen, kunnen komen, zijn gebracht of zullen worden gebracht worden tot het tegendeel is aangetoond aangemerkt als een datalek. 

Als uit onderzoek blijkt dat er inderdaad een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens heeft of zal plaatsvinden, dan is er daadwerkelijk sprake van een datalek. Een enkele tekortkoming of kwetsbaarheid in de beveiliging is geen datalek. Dit is wel het geval wanneer redelijkerwijs niet kan worden uitgesloten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid.

Datalekken kunnen b.v. ontstaan door:
- moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, malware besmetting);
- technisch falen (ICT-storingen);
- menselijk falen (te eenvoudige wachtwoorden/het verstrekken van username/wachtwoord aan collega’s en externen;
- calamiteit (brand datacentrum, wateroverlast);
- verlies van gegevensdragers zoals een USB stick of ICT apparatuur zoals een laptop;
- verkeerd geadresseerd verzenden van email of documenten met persoonsgegevens;
- de onrechtmatige verwerking van gegevens.

Hoe om te gaan met datalekken
Feiten en/of omstandigheden die de indruk geven dat bij de activiteiten van de AHOCN persoonsgegevens onterecht in de openbaarheid komen, kunnen komen, zijn gebracht of zullen worden gebracht worden direct aan de Secretaris van de AHOCN en bij diens afwezigheid aan Voorzitter van de AHOCN medegedeeld. De Secretaris van de AHOCN en bij diens afwezigheid aan Voorzitter van de AHOCN hebben de plicht tot de beoordeling van de situatie om vast te stellen of er daadwerkelijk sprake is van een datalek. Hierbij moet aandacht worden besteed aan de volgende aspecten:
- wat is de aard van het datalek (omvang, aantal getroffenen, welke persoonsgegevens)?
- wat is de oorzaak van dit incident?
- is er sprake van het niet nakomen van of een tekortkoming in de beveiligingsprocedures?
- is de organisatie verwijtbaar?

Indien sprake is van een datalek waarbij veel en/of bijzondere of gevoelige gegevens zijn gelekt dan zal het Bestuur binnen 2 dagen maar niet later dan 72 uur na ontdekking zorg dragen voor een melding bij de Autoriteit Persoonsgegevens. 

De Secretaris zal een overzicht bijhouden van alle datalekken binnen de AHOCN. Per datalek wordt in het overzicht aangegeven wat de feiten en gegevens zijn van de aard van de inbreuk. Een datalek wordt voor minimaal 1 jaar in het overzicht bewaard. Na de melding datalek ontvangt de AHOCN een ontvangstbevestiging van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens zal contact met de AHOCN opnemen mocht na een melding aanleiding zijn om nadere acties te ondernemen. Hierbij zal met name de herkomst van de melding worden geverifieerd en kan de AHOCN aanwijzingen van de Autoriteit Persoonsgegevens krijgen.

Wanneer vast staat dat een datalek bij de Autoriteit Persoonsgegevens gemeld moet worden dan dient hierna beoordeeld te worden of een datalek ook aan betrokkene moet worden gemeld. Betrokkenen zijn degenen wiens persoonsgegevens zijn betrokken bij een inbreuk. In het geval van de AHOCN zijn de betrokkenen over het algemeen leden van de AHOCN.

Een betrokkene moet ook onverwijld in kennis worden gesteld van de inbreuk. Indien de inbreuk waarschijnlijk geen ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene of wanneer de technische beschermingsmaatregelen (bijvoorbeeld encryptie) die zijn genomen voldoende bescherming bieden, kan melding van het datalek aan de betrokkene achterwege blijven.

Interne controle
De Webmaster analyseert jaarlijks de meldingen datalekken en stelt indien nodig een verbeterplan ter voorkoming van datalekken.

De Secretaris beoordeelt minimaal jaarlijks of de procedure en de uitvoering van dit protocol nog met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van het protocol.