DATALEKREGLEMENT inz AVG
In het datalekreglement wordt aangegeven hoe ABC Bridge wil dat er gehandeld wordt wanneer er onverhoopt sprake is van datalekken persoonsgegevens, naar de laatste wetgeving (maart 2022). Om die reden registreert ABC zo min mogelijk gegevens en is er bij elk lid geïnventariseerd hoe zijn of haar persoonlijke wensen en toestemming luidt. Alle functionarissen zijn hiervan op de hoogte gebracht en worden geacht naar de al dan niet gegeven toestemming te handelen. Dat geldt voor vermelding van namen foto's etc. Daarvoor wordt gebruik gemaakt van met wachtwoord en virusscanners beveiligde computers en worden voor gebruik niet meer dan noodzakelijke data ter gebruik gegeven voor dat doel voor een beperkte periode. Dat betekent ook dat wanneer u geen toestemming heeft gegeven, andere leden u niet kunnen bereiken, of dat uw scores zonder uw naamvermelding worden gepubliceerd. Het reglement is van toepassing sinds de ALV 2022.
 | DATALEK PROTOCOL Beschrijving wat te doen bij datalek. Deze is besproken en gedeeld met webmasters en scoreberekenaars. DATALEKPROTOCOL.pdf (856.7KB) |
Beschrijving wat te doen bij datalek. Deze is besproken en gedeeld met webmasters en scoreberekenaars.
| DATALEKPROTOCOL.pdf (856.7KB) |
Datalekprotocol toepassing bij ABC
1. Na de installatie van nieuwe bestuursleden worden bij de Kamer van Koophandel en de bank de legitimatiegegevens doorgegeven het bestuurslid zelf. ABC krijgt derhalve de legitimatiebewijzen van bestuursleden niet in handen en vraagt daar niet naar.
2. ABC vraagt en registreert van haar leden alleen (voor- en achter-)naam, adres, telefoonnummer en emailadres op, met als doel activiteiten te organiseren en daarvoor met haar leden in contact te komen.
In het aanmeldformulier van nieuwe leden wordt uitdrukkelijk gevraagd welke informatie door de club met andere leden al dan niet mag worden gedeeld en gepubliceerd via een lokale krant en via een publiektoegankelijke website. Datzelfde geldt ook voor het al dan niet herkenbaar op foto’s te plaatsten op een publiek toegankelijke website van de club.
Aanwezige gegevens worden door ABC verwijderd zodra deze niet meer nodig zijn.
3. ABC vraagt en registreert van leden uitdrukkelijk géén;
a. geboortedata,
b. kopie paspoort- en of BSN-gegevens,
c. financiële of economische gegevens,
d. gegevens over religie, ras, politieke gezindheid, gezondheid, seksuele geaardheid, vakbondslidmaatschap, strafrechtelijke gegevens en of gegevens over onrechtmatig, hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
e. gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene,
f. inloggegevens zoals gebruikersnamen, wachtwoorden of andere inloggegevens, (aandachtspunt wanneer we een inlogcode voor de website instellen)
g. gegevens uit DNA databanken en gegevens waarop een wettelijke geheimhoudingsplicht rust.
DATALEKREGLEMENT OBV REGELGEVING AVG
1. Introductie Datalekreglement
1.1. Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij Autoriteit Persoonsgegevens (“AP”).
1.2. In dit protocol wordt uitgelegd wat de meldplicht inhoudt en wat het begrip datalek inhoudt.
1.3. Aanleiding van dit nieuwe protocol is de Algemene Verordening Gegevensbescherming (“AVG”) die vereist dat een datalek gemeld moet worden.
2. Het begrip datalek en overige begrippen
Wat is een datalek?
2.1. Een datalek is het verlies of de onrechtmatige verwerking van persoonsgegevens als gevolg van een inbreuk op de beveiliging daarvan. Voorbeelden;
a. Een e-mail met een bestand met persoonsgegevens die aan de verkeerde geadresseerde wordt gestuurd.
b. Een hack van het computersysteem waardoor er toegang is tot bestanden met persoonsgegevens.
c. Een laptop van een lid of bestuurslid van ABC wordt gestolen die onvoldoende beveiligd is waardoor een buitenstaander kan inloggen.
d. Een USB stick met bestanden waarop ook persoonsgegevens is kwijtgeraakt of wordt gestolen.
e. Inbraak in de kast van ABC of bij een functionaris waardoor opgeslagen archieven waarin zich persoonsgegevens bevinden worden gestolen.
Overige begrippen die van belang zijn:
AVG Algemene Verordening Gegevensbescherming (General Data Protection Regulation), EU regelgeving die rechtstreeks werkend is vanaf 25 mei 2018.
AP Autoriteit Persoonsgegevens, toezichthouder op het voldoen aan de privacy regelgeving.
Betrokkene Degene van wie persoonsgegevens verwerkt worden.
Persoonsgegevens Elk gegeven over een levende persoon, of een gegeven dat direct of
indirect te herleiden is tot een levend persoon.
Verwerken Iedere handeling of elk geheel van handelingen met betrekking tot persoonsgegevens zoals vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, doorzenden, samenbrengen, verzamelen, verspreiden, ter beschikking stellen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen, enz.
Verwerkingsverantwoordelijke Degene of de organisatie die alleen of tesamen met anderen, het doel van en de middelen voor de verwerking vaststelt.
Verwerker Degene die in opdracht/op instructie van de verwerkingsverantwoordelijke verwerkt (maar niet op basis van een volmacht zoals een vertegenwoordiger). Een verwerker heeft geen zeggenschap over de gegevens.
3. Datalekken oorzaken
Een datalek kan veroorzaakt worden door:
a. Menselijk falen (te eenvoudige wachtwoorden, bijvoegen van verkeerde bestanden.
b. Versturen naar foutieve (e-mail)adressen.
c. Technisch falen (ICT storingen).
d. Moedwillig handelen (cyber criminaliteit of identiteitsfraude).
Zodra een datalek is ontstaan, moet er actie ondernomen worden om:
a. Vast te stellen of er inderdaad sprake is van een datalek;
b. Vast te stellen of er een meldplicht is.
4. Meldplicht
Wanneer is er een meldplicht? Hiervoor moeten de volgende vragen worden beantwoord:
a. Is de meldplicht datalekken uit de AVG van toepassing?
b. Is een gebeurtenis te beschouwen als een datalek?
c. Moet het datalek worden gemeld bij AP?
d. Hoe en wanneer moet het datalek worden gemeld bij AP?
e. Moet het datalek ook worden gemeld aan de betrokkene oftewel degene van wie de persoonsgegevens zijn gelekt? Zo ja, hoe moet worden gemeld en wanneer?
f. Welke gegevens moeten worden vastgelegd voor de melding?
5. Is de meldplicht datalekken uit de AVG van toepassing?
a. Is er sprake van verwerking van persoonsgegevens?
Een persoonsgegeven is elke gegeven betreffende een geïdentificeerde of identificeerbare persoonsgegevens zoals NAW, e-mail adressen, IP adressen, telefoonnummers, lidnummers, BSN nummers, kopie ID’s, foto’s. Verwerking houdt in; elke handeling of handelingen m.b.t. persoonsgegevens zoals
verzamelen, vastleggen, ordenen, bewaren, raadplegen, muteren , verspreiden enz. Indien het antwoord nee is, is de meldplicht niet van toepassing. Indien het antwoord ja is, is de volgende vraag relevant:
b. Is ABC verantwoordelijk voor de verwerking (verwerkingsverantwoordelijke) of is degene die verwerkt een vertegenwoordiger van de vereniging?
Verwerkingsverantwoordelijke is degene die alleen of tesamen met anderen, het doel van en de middelen voor de verwerking vaststelt. Vertegenwoordiger is degene die op basis van een overeenkomst of volmacht handelt. Als de vereniging bij de verwerking derden inschakelt, is de vereniging terzake van de meldplicht eindverantwoordelijke. Indien het antwoord nee is, is de meldplicht niet van toepassing. Indien het antwoord ja is, is de volgende vraag relevant:
c. Is de AVG van toepassing op de verwerking?
Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de AVG. Dat is bijvoorbeeld bij huishoudelijke doeleinden of persoonlijke doeleinden, of bij literaire/journalistieke of artistieke doeleinden geldt de meldplicht niet. Indien het antwoord nee is, is de meldplicht niet van toepassing. Als het antwoord op alle vragen ja is, is de meldplicht van toepassing.
6. Is een gebeurtenis te beschouwen als een datalek?
a. Is er sprake van een inbreuk op de beveiliging?
Er heeft zich een beveiligingsincident voorgedaan. Als het antwoord nee is, is er geen datalek.
Antwoord ja, dan moet de volgende vraag worden beantwoord:
b. Zijn bij de inbreuk persoonsgegevens verloren gegaan?
Dit houdt ook in als er twijfel is of niet kan worden uitgesloten dat persoonsgegevens onrechtmatig
zijn verwerkt waaronder moet worden begrepen de aantasting van persoonsgegevens, onbevoegde kennisnemen, wijziging of verstrekking daarvan. Als het antwoord nee is, is er geen datalek. Antwoord ja, dan moet de volgende vraag worden beantwoord:
c. Kan de vereniging redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt?
Als het antwoord ja is, is er geen datalek.
Als de vragen a en b met nee zijn beantwoord, en de laatste vraag met ja, is er wel een datalek!
7. Moet het datalek gemeld worden bij AP?
Melding moet geschieden als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Beoordeeld moet worden;
a. Zijn er persoonsgegevens van gevoelige aard gelekt?
Dit is het geval als er bijzondere persoonsgegevens zijn gelekt zoals gegevens over religie, ras, politieke gezindheid, gezondheid, seksuele geaardheid, vakbondslidmaatschap, strafrechtelijke gegevens en of gegevens over onrechtmatig, hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Of als er sprake is van gegevens zoals gegevens over de financiële of economische situatie van betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene, inloggegevens zoals gebruikersnamen, wachtwoorden of andere inloggegevens, gegevens die gebruikt kunnen worden voor identiteitsfraude (zoals een kopie ID, BSN nummer), gegevens uit DNA databanken, gegevens waar een bijzondere wettelijk bepaalde geheimhoudingsplicht op rust en gegevens die vallen onder een beroepsgeheim. Over het algemeen zal ABC dit soort gegevens niet registreren. Paspoortkopieën worden wel gevraagd als een penningmeester geïnstalleerd moet worden en er een bankpas nodig is. ABC verwijdert echter zoveel mogelijk dit soort gegevens zodra deze niet meer nodig zijn.
Als het antwoord ja is, is er sprake van een meldplicht aan AP!
Als het antwoord nee is, moet de volgende vraag worden beantwoord:
b. Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? Dat wil zeggen: gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen? Zijn de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen ingrijpend? Worden de persoonsgegevens binnen bepaalde ketens zoals de overheid gedeeld? Gaat het om persoonsgegevens van kwetsbare groepen?
Als het antwoord ja is, is er sprake van een meldplicht aan AP!
Als het antwoord nee is, moet de volgende vraag worden beantwoord;
a. Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? Dat wil zeggen: gaat het om veel persoonsgegevens per persoon of om gegevens van grote groepen? Zijn de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen ingrijpend? Worden de persoonsgegevens binnen bepaalde ketens zoals de overheid gedeeld? Gaat het om persoonsgegevens van kwetsbare groepen?
Als het antwoord ja is, is er sprake van een meldplicht aan AP!
Als het antwoord nee is, hoeft er niet worden gemeld!
8. Hoe en wanneer moet er gemeld worden aan AP?
Bij de website van AP is een webformulier beschikbaar voor melden op
https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
a. Een datalek moet onverwijld worden gemeld, dus na ontdekken van de mogelijke datalek. De regel is “als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet dit meteen, waar mogelijk binnen 72 uur, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
b. Er mag enige redelijke tijd worden genomen voor nader onderzoek ten einde een onnodige melding te voorkomen. Echter een melding moet gebeuren binnen 72 uur na ontdekking (te lopen van het moment dat ABC of de verwerker van ABC op de hoogte raakt van het incident dat mogelijk onder de meldplicht valt.
9. Moet het datalek ook gemeld worden aan de betrokkene oftewel degene van wie de persoonsgegevens zijn gelekt? Wanneer hoeft er niet gemeld te worden?
Niet melden aan betrokkene in de volgende gevallen:
a. Er zijn passende technische beschermingsmaatregelen genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens, bijv. Door adequate encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code) zie het schema hieronder;
b. Andere technische beschermingsmaatregelen bieden voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten doordat er sprake is van een tijdige en adequate op afstand wissen van de gegevens die op het apparaat staan (remote wiping), of er sprake is van pseudonimisering (technische maatregelen om te voorkomen dat de persoonsgegevens gekoppeld kunnen worden aan de oorspronkelijke identiteit van een persoon);
c. Het is onwaarschijnlijk dat het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. Let op: er mogen dan geen persoonsgegevens van gevoelige aard zijn gelekt (zie voor de definitie pagina 4). AP kan dit toetsen, als AP van mening is dat er wel ongunstige gevolgen kan zijn voor de persoonlijke levenssfeer van betrokkene, kan AP opdragen dat er alsnog moet worden gemeld aan betrokkene.
d. Er zijn andere zwaarwegende redenen om de melding aan betrokkene achterwege te laten. Als zwaarwegend wordt beschouwd:
I. de veiligheid van de staat is in het geding
II. voorkoming, opsporing en vervolging van strafbare feiten
III. gewichtige economische en financiële belangen van de staat en andere openbare lichamen
IV. toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen die beschreven zijn onder II en III.
V. De bescherming van de betrokkene of van de rechten en vrijheden van anderen.
10. Schema voor het beoordelen van technische maatregelen (zie bestand)
11. Hoe moet een datalek gemeld worden aan een betrokkene?
Er moet gemeld worden aan betrokkene via een kennisgeving, die het volgende inhoudt:
de aard van de inbreuk;
a. de instantie(s) waar de betrokkene meer informatie kan krijgen over de inbreuk (contactgegevens);
b. de maatregelen om de negatieve gevolgen van de inbreuk te beperken.
Er moet onverwijld worden gemeld. Dit betekent binnen redelijke tijd. De regels zijn te vinden in artikel 34 AVG;
a. Betrokkene moet worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
b. Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen.
c. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
12. Schema melden betrokkene: (zie bestand)
13. Welke gegevens moeten vastgelegd worden voor de melding?
Van iedere datalek wordt vastgelegd;
a. Aard van de inbreuk en wanneer deze is ontdekt
b. Of er gemeld is aan betrokkene en zo ja, de inhoud van de kennisgeving (tekst).
14. Overige zaken
a. Archivering: Er moet een overzicht bijgehouden worden van alle datalekken die onder de meldplicht vallen, dus alle datalekken die aan AP moeten worden gemeld. Dit overzicht bevat de gegevens die voor melding nodig zijn (zie vorige pagina). Bewaartermijn van het overzicht: minimaal 1 jaar.
b. Sancties: Een overtreding van de meldplicht datalekken wordt beboet tot invoering van de AVG met een boete van maximaal EUR 820.000 euro, ex artikel 23 lid 4 Wetboek van Strafrecht. Als de overtreding niet opzettelijk is gepleegd en er geen sprake is van een ernstig verwijtbare nalatigheid, kan AP een bindende aanwijzing opleggen.
c. Aangifte: Bij het vermoeden van een hack of strafbaar handelen, zal er aangifte moeten worden gedaan bij de politie.
d. Procedure datalek: De procedure beschrijft een praktisch handvat voor de ABC-bestuursleden en functionarissen hoe er gehandeld moet worden bij een datalek. Dit protocol is een nadere uitleg/beschrijving.