Stappenplan Meldplicht (Eva Visser) (pdf)

27 maart 2014| Advocaat mr. Eva N.M. Visser
Datalekken
SURFacademy Seminar
Meldplicht & Privacy in de
praktijk
Deel 2: Stappenplan Meldplicht
•  Introductie Stappenplan
•  Melden nodig ja / nee?
•  Behandeling Stappenplan
•  Bij een datalek: actie!
•  Invloed toekomstige Privacy Verordening?
•  Vragen?
Introductie Stappenplan
•  Stappenplan waarmee de SURF doelgroep zich kan voorbereiden
op de ‘brede’ meldplicht datalekken (Wbp)
•  Voor onderwijsinstellingen die persoonsgegevens verwerken van
betrokkenen (zoals medewerkers, docenten, studenten,
onderzoekers) en te maken krijgen met datalekken
•  Ook een manier om (nog) meer compliant te worden met de Wbp
Melden nodig ja / nee?
1.  Is sprake van een inbreuk op beveiligingsmaatregelen?
• 
Zo ja: in ieder geval protocolplicht
• 
Zo nee: geen meldingsplicht, geen protocolplicht
Wat geldt als er geen beveiligingsmaatregelen zijn getroffen, dan ook
geen meldplicht? Verlies USB-stick inbreuk?
2.  Kan redelijkerwijs worden aangenomen dat die inbreuk leidt tot
een aanmerkelijke kans op nadelige gevolgen voor de privacy van
de betrokkene?
• 
Zo ja: melden bij CBP
• 
Zo nee: protocolplicht
Melden nodig ja / nee?
3.  Heeft de inbreuk waarschijnlijk ongunstige gevolgen voor de
privacy van de betrokkene?
• 
Zo ja: melden aan betrokkene
• 
Zo nee: protocolplicht, tenzij CBP alsnog verlangt dat
melding aan betrokkene wordt gedaan
4.  Heeft de onderwijsinstelling gepaste technische
beschermingsmaatregelen genomen waardoor de gegevens
versleuteld zijn of anderszins onbegrijpelijk gemaakt?
• 
Zo ja: geen melding aan betrokkene nodig
• 
Zo nee: zie hiervoor
Voorbereidende stappen
Zorg dat de verwerking van persoonsgegevens voldoet aan de Wbp
1.  Inventariseer waar in de onderwijsorganisatie welke gegevens
worden verwerkt (breng informatiestromen in kaart)
2.  Neem de beveiligingsmaatregelen onder de loep. Voer een
risicoanalyse uit. Tref passende technische en organisatorische
beveiligingsmaatregelen en pas het beveiligingsbeleid aan waar
nodig
3.  Overweeg encryptie (waardoor melding aan betrokkene
achterwege gelaten kan worden)
Voorbereidende stappen
3.  Inventariseer de contracten met leveranciers (bewerkers) en zorg
dat deze waar nodig worden aangepast
• 
bewerker moet contractueel verplicht worden een datalek te
melden aan de onderwijsinstelling
• 
vraag daarbij ook om een beschrijving van de gevolgen van de
inbreuk en de maatregelen om de gevolgen te verhelpen (ivm
protocolplicht onderwijsinstelling)
• 
spreek af wie (onderwijsinstelling of leverancier) bepaalt of
een datalek wel of niet meldingsplicht is (bij voorkeur de
onderwijsinstelling)
• 
maak duidelijk welke datalekken gemeld moeten worden (bij
voorkeur: alle incidenten)
• 
regel hoe wordt omgegaan met boetes als gevolg van een
datalek
Alle
incidenten
Alle
datalekken
Melding
CBP
Melding
betrokkenen
Voorbereidende stappen
4.  Stel alvast een intern actieplan op dat moet worden uitgevoerd bij een
datalek, denk aan:
• 
aan wie moet intern gemeld worden (meldpunt datalekken, FG)?
• 
board attention
• 
wie moet welke maatregelen binnen welke termijnen nemen?
• 
hoe wordt er gecommuniceerd over het datalek
(communicatieplan)? Goede PR is key!
• 
wijze van melden betrokkenen (persoonlijk, dagbladen)
• 
melden bij verzekering?
• 
schakel advocaat in (brengt ‘legal triggers’ in kaart)
5.  Zorg voor voldoende interne training met betrekking tot het actieplan
Bij een datalek: Actie!
•  Voer het actieplan uit!
•  Dicht het lek
•  Vorm een projectteam en een stuurgroep
–  Projectteam onder meer vertegenwoordigers van IT, legal,
compliance en communicatie
–  Documenteer alle acties en beslissingen
•  Inventariseer de omvang van de inbreuk en de nodige maatregelen
–  Wat voor soort en hoeveel gegevens?
–  Mogelijk nadeel voor organisatie en betrokkenen?
–  Welke maatregelen?
Contactgegevens
Eva N.M. Visser
020-5200878 | 06-10188239
[email protected]
Project Moore Advocaten
Leidsegracht 78 | 1016 CR Amsterdam
www.projectmoore.com