Een datalek houdt in dat persoonsgegevens in handen komen of kunnen komen van derden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick een gestolen laptop een mail met persoonsgegevens die naar de verkeerde persoon is gestuurd een hack in een datasysteem een werknemer die ongeoorloofd gevoelige gegevens heeft ingezien

Moet ik alle datalekken melden?

Niet ieder datalek hoef je melden. Datalekken waarvan het niet waarschijnlijk is dat ze een risico inhouden voor de rechten en vrijheden van de betrokken personen, hoef je niet te melden.

Risico voor de rechten en vrijheden van personen

Onder persoonsgegevens die een hoog risico voor de rechten en vrijheden met zich meebrengen vallen gevoelige persoonsgegevens, zoals medische gegevens of gegevens over ras, geloof of seksuele voorkeur. De naam- en adresgegevens houden in het algemeen geen hoog risico in.

Autoriteit Persoonsgegevens datalek

Moet je een datalek melden, dan doe je dat bij de Autoriteit Persoonsgegevens (AP). Dit moet binnen 72 uur na ontdekking van het datalek. Als het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokken personen, moet je het datalek ook aan hen melden.

Hoe gebruik ik dit Protocol Datalekken?

Het is belangrijk dat iedereen binnen je organisatie die persoonsgegevens verwerkt of toegang daartoe heeft, weet wat een datalek is en wat hij moet doen als er een datalek heeft plaatsgevonden. Zorg er daarom voor dat alle medewerkers de Procedure Datalekken kennen en die gemakkelijk kunnen vinden. Daarnaast moet je 1 of meer medewerkers verantwoordelijk maken voor het afhandelen van een datalek. Zorg ervoor dat deze persoon weet wat van hem verwacht wordt en over de (technische) kennis en hulpmiddelen beschikt om goed te kunnen beoordelen: hoe het datalek heeft kunnen plaatsvinden of je organisatie het datalek moet melden bij de AP en/of bij de betrokkenen zelf wat je organisatie kan doen om de gevolgen van het datalek te beperken wat je organisatie kan doen om een dergelijk datalek in de toekomst te voorkomen

Zorg voor een datalekregister

Iedere organisatie die persoonsgegevens verwerkt, moet volgens de privacywet ook een datalekregister hebben. Hierin houd je bij welke inbreuken er in je organisatie zijn geweest. Het doel van het datalekregister is dat je als organisatie leert van eerdere datalekken om zo maatregelen te nemen om de kans op nieuwe te verminderen. Je mag zelf bepalen welke vorm je datalekregister heeft .

MAAK JE GRATIS Protocol Meldplicht Datalekken

Maak je document in 3 makkelijke stappen

Stel je document op

Beantwoord een paar vragen om je document binnen enkele minuten op maat te maken

Bewaar, print en deel

Sla tussendoor op en ga verder op elk apparaat; download en print overal

Onderteken en maak het rechtsgeldig

Teken veilig online en nodig anderen uit om het document te tekenen

ANDERE NAMEN Protocol Datalekken Data Lek Protocol Procedure Meldplicht Datalekken Procedure Datalekken

Wat is een Protocol Meldplicht Datalekken?

Een Protocol Meldplicht Datalekken is een AVG-compliant document waarin de procedure staat beschreven die je organisatie moet volgen wanneer er persoonsgegevens zijn gelekt, kwijtgeraakt, gestolen of op andere wijze in verkeerde handen zijn gekomen.
Dit document is AVG-proof.

Wanneer heb ik een Protocol Meldplicht Datalekken nodig?

Vrijwel elke organistatie verwerkt persoonsgegevens waardoor het hebben van een Protocol Melding Datalek verplicht is. De Algemene verordening gegevensbescherming (AVG) verplicht je om bij een ernstig datalek binnen 72 uur actie te ondernemen. Doe je dat niet, dan riskeer je een hoge boete. Zorg er daarom voor dat iedere medewerker binnen je organisatie weet welke procedure hij moet volgen bij een datalek en gebruik hiervoor dit AVG-proof Protocol Melding Datalekken.

Rocket Lawyer leden hebben meer dan 1,2 miljoen documenten gemaakt

Rechtsgeldig en bindend

Voldoet aan Nederlandse wet- en regelgeving

Antwoord op je vragen over je document van een advocaat

Onderteken dit document gratis online met RocketSign®

PROTOCOL MELDPLICHT DATALEKKEN

Overwegingen:

hecht belang aan een goede beveiliging van haar (elektronische) systemen waarin persoonsgegevens zijn opgeslagen en worden verwerkt
het valt desalniettemin nooit volledig te voorkomen dat er een datalek zal plaatsvinden
is op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om (ernstige) datalekken te melden aan de Autoriteit Persoonsgegevens en aan de betrokkenen
wenst aan haar wettelijke verplichtingen te voldoen
heeft daarom een beleid geformuleerd om zo adequaat mogelijk te handelen indien er onverhoopt toch een datalek plaatsvindt

1 - Definitie datalek

Er is sprake van een datalek als er een inbreuk op de beveiliging plaatsvindt die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

2 - Interne verantwoordelijke melding datalekken

heeft interne verantwoordelijke voor de verwerking van datalekken aangesteld die verantwoordelijk voor de melding van een datalek.
Deze verantwoordelijke : , telefoonnummer: ; e-mailadres: , hierna te noemen: ‘interne verantwoordelijke’.

3 - Interne melding bij ontdekking van een datalek

Degene die een datalek bij ontdekt, meldt dit per omgaande aan de interne verantwoordelijke.
Indien mogelijk, zorgt degene die het datalek heeft ontdekt er gelijktijdig voor dat de gelekte gegevens meteen op afstand worden gewist of ontoegankelijk gemaakt.

4 - Onderzoek door de interne verantwoordelijke

De interne verantwoordelijke onderzoekt onder meer:

of er persoonsgegevens verloren zijn gegaan of onrechtmatig gebruikt kunnen worden
wie of welke afdelingen binnen de organisatie betrokken zijn bij het datalek
of er een verwerker betrokken is bij het incident

5 - Bestrijding datalek

De interne verantwoordelijke stopt het datalek indien dat nog kan en neemt voorts de noodzakelijke maatregelen om het datalek zo goed mogelijk te bestrijden.

6 - Vaststelling van de gevolgen van een datalek

De interne verantwoordelijke onderzoekt de mogelijke gevolgen van het datalek aan de hand van de aard en de omvang van de gegevens die gelekt zijn en stelt vast wat de nadelige gevolgen van de betrokkenen kan zijn.

7 - Medewerking verstrekking gegevens omtrent het datalek

De ontdekker/melder van het datalek biedt alle medewerking aan de interne verantwoordelijk door zo snel en zo goed mogelijk (schriftelijk) antwoord te geven op de volgende vragen:

wat is er gebeurd? (omschrijving van het incident)
ging het per ongeluk of is het veroorzaakt door kwade opzet (denk aan gehackte gegevens)?
wanneer is het gebeurd? (datum en tijdstip)
wanneer is het ontdekt?
wat voor gegevens(registers) zijn gelekt?
zijn de gegevens versleuteld, en zo ja hoe?
konden de gegevens op afstand worden gewist of ontoegankelijk gemaakt, en zo ja, is dat gebeurd?
wat zijn de mogelijke gevolgen voor de betrokkenen?
welke groep(en) personen is/zijn hierdoor getroffen? (bijvoorbeeld: leerlingen, patiënten, premium leden)
hoeveel personen zijn hierdoor (bij benadering) getroffen?
zijn er ook gegevens van personen in andere EU-landen getroffen door het datalek?
konden er al technische en/of organisatorische maatregelen worden getroffen naar aanleiding van het incident?

8 - Beschikbaarheid personeel na ontdekking datalek

De verantwoordelijke van de afdeling vanuit waar het datalek heeft plaatsgevonden alsook de ontdekker van het datalek en iedereen die vanuit hun functie of kennis in staat is om organisatorische en/of technische maatregelen te treffen om de gevolgen van het datalek te beperken, houden zich de 1e 24 uur na ontdekking van het datalek beschikbaar voor overleg met de interne verantwoordelijke c.q. eventueel door hem aangewezen experts en voor het zo nodig uitvoeren van opgedragen werkzaamheden als gevolg van het datalek.

9 - Beslissing melding datalekken

De interne verantwoordelijke beslist zo spoedig mogelijk doch in elk geval binnen 60 uur na ontdekking van het datalek - al dan niet in overleg met de verantwoordelijke van de afdeling vanuit waar het datalek is ontdekt en/of door hem aangewezen experts - of het datalek dient te worden gemeld aan de Autoriteit Persoonsgegevens en/of de betrokkenen.
Een datalek wordt in principe altijd gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen.
De melding van het datalek gaat gepaard met beantwoording van de vragen zoals omschreven in onderdeel 7.
Een datalek dat gemeld is aan de Autoriteit Persoonsgegeven wordt eveneens gemeld aan de betrokkenen indien het een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, tenzij inmiddels passende maatregelen zijn genomen dat het hoge risico heeft afgewend.

10 - Melding datalekken aan de Autoriteit Persoonsgegevens en/of betrokkenen

De interne verantwoordelijke draagt zo nodig zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n).
Melding geschiedt zo spoedig mogelijk na de ontdekking en uiterlijk binnen 72 uur na ontdekking van het datalek.
Het is enige andere werknemer dan de interne verantwoordelijke niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkene(n) te melden.
Als een werknemer het niet eens is met de beslissing van de interne verantwoordelijke omtrent het al dan niet melden van het datalek aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan kan hij zijn grieven kenbaar maken aan de directie.
Indien daartoe verzocht, verleent een werknemer alle medewerking aan de verantwoordelijke om de getroffen personen conform artikel 34 AVG te kunnen informeren omtrent het datalek.

11 - Gevolgen melding datalekken

Indien het datalek negatieve gevolgen heeft voor betrokkenen, dan doet de interne verantwoordelijke er alles aan om deze gevolgen zoveel mogelijk te beperken.
Afhankelijk van de aard en de omvang van het datalek voor betrokkenen bepaalt de interne verantwoordelijke:

op welke wijze betrokkenen worden geïnformeerd (waaronder in ieder geval de mededelingen worden gedaan welke soorten persoonsgegevens getroffen zijn, wat de mogelijke gevolgen zijn, welke maatregelen neemt en op welke wijze betrokkenen zelf de schade kunnen voorkomen of beperken)
welke nazorg betrokkenen krijgen
welke acties in het belang van de organisatie noodzakelijk zijn

Indien een datalek heeft plaatsgevonden - ongeacht of deze is gemeld of niet - worden zo spoedig mogelijk adequate technische en/of organisatorische maatregelen getroffen om toekomstige gelijksoortige datalekken te voorkomen.

12 - Bijhouden register datalekken

De interne verantwoordelijke houdt een register bij van alle datalekken, waarin alle gegevens rondom het datalek worden geregistreerd, zoals:

een omschrijving van het incident
datum en tijdstip van het datalek
datum en tijdstip ontdekking van het datalek
omschrijving van de soort gelekte persoonsgegevens
omschrijving van de categorie(en) van betrokkenen die zijn getroffen
omschrijving aantal betrokkenen (bij benadering)
of ook gegevens van personen in andere EU-landen zijn gelekt
of het incident is gemeld aan de Autoriteit Persoonsgegevens en zo ja datum en tijdstip melding
of het incident is gemeld aan de betrokkenen en zo ja, datum en tijdstip melding
op welke wijze betrokkenen zijn geïnformeerd
de gevolgen van het datalek, met indien mogelijk vermelding van datum en tijdstip
welke technische en/of organisatorische maatregelen zijn getroffen na het datalek, met vermelding van datum en tijdstip

Dit protocol meldplicht datalekken is opgemaakt op .

Onze kwaliteitsgarantie

We garanderen dat de documenten die je via Rocket Lawyer maakt rechtsgeldig zijn in Nederland en veilig worden opgeslagen op Europese servers.

Hulp nodig? Geen probleem!

Stel een vraag of krijg juridisch advies van een advocaat.

Maak snel en eenvoudig je Protocol meldplicht datalekken

Maak je document

Maak je document door het stapsgewijze interviewproces van Rocket Lawyer te volgen. Als je je antwoorden moet bewerken na het maken van je document, kun je terugkeren naar het interview om dit te doen. Begin nu!
Controleer je document

Neem je document goed door om er zeker van te zijn dat het voldoet aan de behoeften van alle betrokkenen. Vergeet niet dat als je vragen hebt, je gebruik kunt maken van onze dienst Vraag een Advocaat.
Sla je document op
Wat staat er in een Protocol Meldplicht Datalekken?
In dit Protocol Meldplicht Datalekken staat onder meer:
- waar een datalek moet worden gemeld
- wat er onderzocht moet worden in geval van een datalek
- de plicht van een medewerker om mee te werken aan bovengenoemd onderzoek
- binnen welke termijn je moet beoordelen of je een datalek moet melden
- dat je een registratie moet bijhouden van alle datalekken binnen je organisatie (datalekregister)

Probeer Rocker Lawyer 7 dagen gratis

Start nu je lidmaatschap en krijg juridische diensten waarop je kunt vertrouwen tegen betaalbare prijzen.

Maak onbeperkt documenten: pas aan, deel, download, print en meer

RocketSign®: onbeperkt online ondertekenen van al je documenten

Vraag een advocaat* om hulp en krijg binnen één werkdag antwoord

Toegang tot rechtwijzers over honderden juridische onderwerpen

Een consult van 30 minuten met een advocaat bij een juridische kwestie

33% korting op uurtarieven of een vaste prijs als je meer juridische hulp nodig hebt

Probeer 7 dagen gratis

BEKIJK LIDMAATSCHAPSVOORDELEN

*Onder voorbehoud van algemene voorwaarden

Veelgestelde vragen over het Protocol Meldplicht Datalekken

Alles inklappen

Alles uitklappen

Wat is een datalek?
Een datalek houdt in dat persoonsgegevens in handen komen of kunnen komen van derden. Voorbeelden van datalekken zijn:
- een kwijtgeraakte USB-stick
- een gestolen laptop
- een mail met persoonsgegevens die naar de verkeerde persoon is gestuurd
- een hack in een datasysteem
- een werknemer die ongeoorloofd gevoelige gegevens heeft ingezien
Moet ik alle datalekken melden?

Niet ieder datalek hoef je melden. Datalekken waarvan het niet waarschijnlijk is dat ze een risico inhouden voor de rechten en vrijheden van de betrokken personen, hoef je niet te melden.
Risico voor de rechten en vrijheden van personen

Onder persoonsgegevens die een hoog risico voor de rechten en vrijheden met zich meebrengen vallen gevoelige persoonsgegevens, zoals medische gegevens of gegevens over ras, geloof of seksuele voorkeur. De naam- en adresgegevens houden in het algemeen geen hoog risico in.
Autoriteit Persoonsgegevens datalek

Moet je een datalek melden, dan doe je dat bij de Autoriteit Persoonsgegevens (AP). Dit moet binnen 72 uur na ontdekking van het datalek. Als het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokken personen, moet je het datalek ook aan hen melden.
Hoe gebruik ik dit Protocol Datalekken?
Het is belangrijk dat iedereen binnen je organisatie die persoonsgegevens verwerkt of toegang daartoe heeft, weet wat een datalek is en wat hij moet doen als er een datalek heeft plaatsgevonden. Zorg er daarom voor dat alle medewerkers de Procedure Datalekken kennen en die gemakkelijk kunnen vinden. Daarnaast moet je 1 of meer medewerkers verantwoordelijk maken voor het afhandelen van een datalek. Zorg ervoor dat deze persoon weet wat van hem verwacht wordt en over de (technische) kennis en hulpmiddelen beschikt om goed te kunnen beoordelen:
- hoe het datalek heeft kunnen plaatsvinden
- of je organisatie het datalek moet melden bij de AP en/of bij de betrokkenen zelf
- wat je organisatie kan doen om de gevolgen van het datalek te beperken
- wat je organisatie kan doen om een dergelijk datalek in de toekomst te voorkomen
Zorg voor een datalekregister

Iedere organisatie die persoonsgegevens verwerkt, moet volgens de privacywet ook een datalekregister hebben. Hierin houd je bij welke inbreuken er in je organisatie zijn geweest. Het doel van het datalekregister is dat je als organisatie leert van eerdere datalekken om zo maatregelen te nemen om de kans op nieuwe te verminderen. Je mag zelf bepalen welke vorm je datalekregister heeft.

Vraag een advocaat

Krijg snel juridisch advies

Rocket Lawyer advocatennetwerk<sup>™</sup> — Rocket Lawyer advocatennetwerk^™

Maak nu je gratis Protocol meldplicht datalekken

Beantwoord een paar eenvoudige vragen om je document op te stellen.

Maak je document