Protocol Datalek

Procedure meldplicht datalekken Eric Rockx Assurantiën

Binnen Eric Rockx Assurantiën worden de persoonsgegevens van relaties zorgvuldig verwerkt. Mocht desondanks een datalek ontstaan, dan zal conform onderstaande procedure worden gehandeld.

 

  1. Bij een datalek is er sprake van een inbreuk op de beveiliging van de persoonsgegevens. De persoonsgegevens zijn dan blootgesteld aan verlies of onrechtmatige verwerking.
  2. Binnen het kantoor kunnen onder andere op onderstaande wijze datalekken ontstaan:
    1. Moedwillig handelen; cybercriminaliteit, hacken, identiteitsfraude, malwarebesmetting.
    2. Technisch falen; ICT-storingen.
    3. Menselijk falen; te eenvoudige wachtwoorden, het verstrekken van username/wachtwoord aan collegae of externen, verzenden van email met emailadressen van alle geadresseerden, email naar verkeerde ontvanger.
    4. Calamiteiten; brand op kantoor of extern datacentrum, wateroverlast, blikseminslag.
    5. Verlies of diefstal; usb-stick, laptop, smartphone, tablet, harde schijf.
    6. Onbereikbaarheid persoonsgegevens ; niet beschikbaar zijn van digitaal polisdossier.
    7. Bovenstaande opsomming is niet limitatief, neem bij twijfel contact op met directie of een bepaald voorval als datalek is aan te merken.
  3. Indien het datalek zou kunnen leiden tot een aansprakelijkheidsstelling dan wordt de verzekeraar onmiddellijk geïnformeerd. Alle verdere stappen in de communicatie over het datalek naar betrokkenen vinden vervolgens plaats na overleg met de verzekeraar. Tevens wordt de verzekeraar ingelicht in verband met eventuele dekking op de polis van overige gevolgschade.
  4. De interne meldplicht binnen het kantoor verloopt als volgt:
    1. Indien een derde zich meldt met de mededeling dat er een datalek is, wordt deze direct door directie in behandeling genomen.
    2. Indien zich een datalek voordoet bij een bewerker is deze verplicht om zo spoedig mogelijk, doch uiterlijk binnen 48 uur na constatering, hiervan melding te maken bij directie.
    3. Datalekken worden door directie persoonlijk behandeld.
    4. In eerste instantie wordt, eventueel in overleg met derden, beoordeeld of er redelijkerwijs kan worden aangenomen dat de inbreuk leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking, waaraan nadelige gevolgen voor de privacy van de betrokkenen zijn verbonden. Is dit niet het geval dan vindt alleen een interne registratie plaats van de melding. Is dit wél het geval dan meldt directie het datalek bij de Autoriteit Persoonsgegevens.
    5. Directie bepaalt de noodzakelijke vervolgacties met betrekking tot het datalek, zijnde:
      1. Lek onmiddellijk dichten
      2. Toegang tot informatie beperken
      3. Meer informatie vergaren over de indringer
    6. Directie beoordeelt of er sprake is van een eigen aansprakelijkheid of aansprakelijkheid van derden, zoals uit hoofde van een wanprestatie (omdat een geheimhoudingsverplichting is geschonden of in strijd met een contractuele verplichting onvoldoende beveiliging is gerealiseerd) of een onrechtmatige daad.
    7. Directie stelt vast of er sprake is van strafrechtelijke verwijtbaarheid en/of al dan niet aangifte gedaan moet worden. Dit kan bijvoorbeeld spelen wanneer er sprake is van betrokkenheid vanuit het kantoor zelf, een bewerker, of wanneer er onvoldoende maatregelen zijn getroffen om ongeregeldheden te voorkomen.
    8. Directie bepaalt wat er extern gecommuniceerd wordt op welk moment. Door directie wordt beoordeeld of de pers zelfs geïnformeerd moet worden.
    9. Directie bepaalt tevens of betrokkenen, andere partijen en/of AFM geïnformeerd moeten worden.
  1. Indien voor een correctie melding van het datalek naast de beschikbare gegevens aanvullende informatie nodig is, wordt deze opgevraagd bij betreffende derde partijen als systeembeheerder, datacenter, backoffice, en dergelijke.

 

  1. Alle datalekken worden door directie direct na constatering digitaal geregistreerd en vastgelegd in de map Registratie Datalekken.

 

  1. Van een datalek worden minimaal de volgende gegevens in de registratie opgenomen:
    1. Datum en tijd van het datalek.
    2. Naam van de melder.
    3. Aard van de inbreuk (is er een aanmerkelijk risico op verlies of onrechtmatige verwerking?)
    4. Welke persoonsgegevens het betreft.
    5. Het aantal gegevens waar het om gaat.
    6. Welke groepen personen betrokken zijn bij het datalek.
    7. Welke (verbeter)maatregelen er door het kantoor cq bewerker zijn of worden genomen.
    8. Contactpersoon voor deze melding.

 

  1. (Melding Autoriteit Persoonsgegevens) Als de directie over alle informatie beschikt, zet directie de melding door naar de Autoriteit Persoonsgegevens. Dit gebeurt uiterlijk binnen 72 uur na constatering van het datalek. In deze melding is minimaal opgenomen:
    1. Aard van de inbreuk, waaronder betrokken categorieën, aantal betrokkenen, aantal gegevens.
    2. Beschrijving van de te verwachten gevolgen voor de betrokkenen volgens het kantoor cq de bewerker.
    3. Getroffen en/of te treffen maatregelen om de schade voor betrokkenen te verkleinen.
    4. Maatregelen die betrokkenen kunnen nemen om verdere schade te verkleinen, inclusief de wijze van inlichten hierover.

 

  1. Indien de informatie voor de melding nog niet compleet is, worden binnen de wettelijke termijn van 72 uur beschikbare gegevens gemeld en wordt de melding later aangevuld.

 

  1. Bij twijfel wel of niet melden worden binnen de wettelijke termijn van 72 uur beschikbare gegevens gemeld en kan de melding op een later tijdstip eventueel alsnog worden ingetrokken.

 

 

  1. De ontvangstbevestiging van de Autoriteit Persoonsgegevens zal worden toegevoegd aan het dossier.

 

  1. (Melding Autoriteit Financiële Markten, AFM) Indien melding wordt gemaakt van het datalek bij de Autoriteit Persoonsgegevens, is het kantoor in het kader van de Wft verplicht om van het datalek ook een incidentenmelding te maken.

 

  1. (Berichtgeving aan betrokkenen) Na melding bij de Autoriteit Persoonsgegevens worden de betrokkenen schriftelijk op de hoogte gesteld. Deze brief of email bevat in ieder geval onderstaande informatie:
    1. Aard van de inbreuk.
    2. Aard van de informatie die is ‘gelekt’.
    3. Te ondernemen actie door betrokkene(n) om verdere schade te verkleinen.
    4. De contactpersoon binnen ons kantoor die voor vragen over het datalek door de betrokkenen benaderd kan worden.

 

  1. Berichtgeving aan betrokkenen kan achterwege blijven indien:
    1. De persoonsgegevens versleuteld zijn of direct na constatering op afstand gewist zijn.
    2. Indien er zwaarwegende bedrijfsbelangen zijn om betrokkenen niet in kennis te stellen.

De Autoriteit Persoonsgegevens kan te allen tijde verlangen dat betrokkenen alsnog worden geïnformeerd.

 

 

Geleen, 17 september 2018

 

Eric Rockx Assurantiën

 

De Asselen Kuil 10

6161 RD Geleen

046-4107766