Formulier incident persoonsgegevens Cliëntnaam/nummer Bestuurder Datum eerste signaal Datum afronding > Instructie: hanteer dit formulier in samenhang met het document ‘Beleidsregels melding datalekken’ van de Autoriteit Persoonsgegevens (AP), zie www.autoriteitpersoonsgegevens.nl. Op deze website is meer nuttige informatie te vinden rond bescherming persoonsgegevens en eventuele (melding van) datalekken. Dit formulier is een hulpmiddel en bevat niet alle relevante juridische aspecten van de incidenten rond persoonsgegevens en de eventuele melding daarvan. 1. Beschrijving beveiligingsincident 2. Is de Wet bescherming persoonsgegevens (Wbp) en dus wellicht de meldplicht van toepassing? Dit is het geval indien de volgende aspecten aan de orde zijn: 2.1 Gaat het om persoonsgegevens? Persoonsgegevens zijn alle gegevens waarmee iemand identificeerbaar is of naar een persoon (of een kleine groep personen) zijn te leiden. 2.2 Is er geen sprake van één van de in de Wbp genoemde uitzonderingen? - de verwerking is alléén bedoeld voor persoonlijke, huishoudelijke, en (bekijk dit nader) sommige journalistieke, artistieke of literaire doelen; - er worden alleen handmatige gegevens verwerkt (die niet later ook in een bestand worden opgenomen); - er is specifieke wetgeving van toepassing(gemeentelijke basisadministratie, krijgsmacht). 3. Betreft het beveiligingsincident een datalek of alleen een zwakke plek in de beveiliging? Een datalek is elke situatie waarin persoonsgegevens verloren zijn gegaan of blootgesteld (kunnen) zijn geweest aan onbevoegde verwerking. Indien is uit te sluiten dat persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt: ga naar vraag 7. Vervolg de checklist anders bij vraag 4. Formulier incident persoonsgegevens, E.121, 17-10-2016 4. Is ons kantoor de verantwoordelijke of een (sub)bewerker betreffende de betrokken persoonsgegevens? - Indien ons kantoor niet de verantwoordelijke is maar een (sub)bewerker; ga na of en zo ja in hoeverre we verplicht zijn of dat het anderszins passend is om de verantwoordelijke betreffende de gegevens (meestal één van onze cliënten) moeten inlichten over de situatie. Zo ja, doe dit dan. Vervolg deze checklist daarna vanaf punt 7. - Indien ons kantoor wel de verantwoordelijke is: vervolg de checklist bij punt 5. 5. Moet het datalek aan de AP worden gemeld? We moeten melden (onverwijld maar binnen 72 uren na ontdekking van het incident) als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval indien: - er gevoelige persoonsgegevens zijn gelekt, wat kan leiden tot stigmatisering, uitsluiting, (identiteits)fraude of gezondheids- of financiële schade, en/of: - aard en omvang van de inbreuk de kans vergroten op ernstige nadelige gevolgen, bijvoorbeeld omdat de betrokkene (persoon wiens gegevens het betreft) zelf niet goed in staat is zich te verweren tegen de gevolgen. 6. Moet het datalek worden gemeld aan de betrokkenen? Een melding is vereist als er sprake is van een concrete kans op negatieve gevolgen voor de persoonlijke levenssfeer en de verwezenlijking daarvan, tenzij er zwaarwegende redenen zijn om de melding niet te doen; zie de betreffende richtlijnen van de AP. 7. Evaluatie en dossiervorming Evalueer zowel (de oorzaken van) het incident zelf als de afhandeling ervan, en beoordeel of een aanpassing van onze organisatie inclusief ICT-omgeving noodzakelijk of wenselijk is, en bespreek dit binnen het bestuur. Stel vast dat alle aspecten rond het incident adequaat zijn vastgelegd, en archiveer alle relevante vastleggingen rond het incident in het Compliance Jaardossier. Akkoord bestuurder: Formulier incident persoonsgegevens, E.121, 17-10-2016 Datum: